Serveur racine DNS

Serveur racine DNS

Serveur racine du DNS

Un serveur racine du DNS est un serveur DNS qui répond aux requêtes qui concernent les noms de domaine de premier niveau (top-level-domain - TLD) et qui les redirige vers le serveur DNS de premier niveau concerné. Bien que n'importe quel opérateur puisse mettre en place ses propres serveurs racines du DNS, le terme de "serveur racine du DNS" est généralement utilisé pour désigner les treize serveurs racines du DNS qui implémentent la racine du Domain Name System officiel d'Internet.

On peut considérer que tous les noms de domaine sur Internet se terminent par un caractère de fin (par exemple : www.exemple.fr.). Ce point final est généralement implicite. En effet, les logiciels DNS actuels n'ont pas besoin qu'il soit systématiquement présent pour convertir un nom de domaine en adresse IP. La chaîne vide après ce point final est appelé le domaine racine. Tous les autres domaines (.com, .org, .fr, etc.) sont des sous-domaines du domaine racine.

Sommaire

Les requêtes DNS

Lorsqu'un ordinateur connecté à Internet veut résoudre un nom de domaine, il s'y prend de la droite vers la gauche. Il demande à chaque serveur DNS, chacun à son tour, de résoudre l'élément à sa gauche. Les serveurs racines du DNS (qui gèrent le domaine .) connaissent les serveurs qui gèrent les domaines de premier niveau. Chaque domaine de premier niveau (comme .org) possède ses propres serveurs qui, à leur tour, transmettent la demande aux serveurs DNS qui gèrent les noms de domaines particuliers (comme wikipedia.org). Ces serveurs renvoient alors l'adresse IP correspondant au sous-domaine ou à l'hôte (comme fr.wikipedia.org ou www.wikipedia.org).

Dans la pratique, la plupart des informations ne change pas très souvent. Elles sont donc mises en cache et les requêtes DNS nécessaires à destination des serveurs racine restent relativement rares. Une étude de 2003 [1] mentionne que seuls 2% des requêtes à destination de ces serveurs étaient légitimes. Les mises en cache incorrectes ou inexistantes sont à l'origine de 75% des demandes. 12,5% concernent des demandes pour des domaines de premier niveau inconnus, 7% parce qu'elles traitent des adresses IP comme des noms de domaines, etc. Certains ordinateurs de bureau mal configurés tentent même de mettre à jour les enregistrements des serveurs racine, ce qui n'est pas normal. Une liste de problèmes observés et les solutions pour y remédier sont disponibles à RFC 4697.

Les serveurs racines du DNS

Il y actuellement 13 serveurs racines du DNS dont les noms sont de la forme lettre.root-servers.netlettre est une lettre comprise entre A et M. Sept de ces serveurs ne sont pas de simples serveurs mais correspondent à plusieurs serveurs répartis dans des lieux géographiques divers.

Lettre adresse IPv4 adresse IPv6 Ancien nom Société Localisation Logiciel
A 198.41.0.4 2001:503:BA3E::2:30 ns.internic.net VeriSign Dulles, Virginie, États-Unis BIND
B 192.228.79.201 2001:478:65::53 ns1.isi.edu USC-ISI Marina Del Rey, Californie, États-Unis BIND
C 192.33.4.12 c.psi.net Cogent Communications trafic distribué par anycast BIND
D 128.8.10.90 terp.umd.edu Université du Maryland College Park, Maryland, Etats-Unis BIND
E 192.203.230.10 ns.nasa.gov NASA Mountain View, Californie, Etats-Unis BIND
F 192.5.5.241 2001:500:2f::f ns.isc.org ISC trafic distribué par anycast BIND
G 192.112.36.4 ns.nic.ddn.mil Defense Information Systems Agency Columbus, Ohio, Etats-Unis BIND
H 128.63.2.53 2001:500:1::803f:235 aos.arl.army.mil U.S. Army Research Lab Aberdeen, Maryland, Etats-Unis NSD
I 192.36.148.17 nic.nordu.net Autonomica trafic distribué par anycast BIND
J 192.58.128.30 2001:503:C27::2:30 VeriSign trafic distribué par anycast BIND
K 193.0.14.129 2001:7fd::1 RIPE-NCC trafic distribué par anycast NSD
L 199.7.83.42 (depuis novembre 2007, remplace 198.32.64.12)[2] ICANN trafic distribué par anycast NSD
M 202.12.27.33 2001:dc3::35 WIDE Project trafic distribué par anycast BIND

Les plus anciens des serveurs possèdent une autre adresse. Il s'agit de ceux qui existaient avant que la règle de nommage actuelle (lettre.root-servers.net) ne soit mise au point.

Les limitations

Il n'est pas possible d'ajouter de nouveaux noms à cause des limites du protocole UDP. En effet les paquets UDP ne peuvent transporter que 512 octets de manière fiable et un fichier qui contiendrait plus de 13 serveurs dépasserait cette limite. Cependant les serveurs C, F, I, J, K, L et M sont maintenant éparpillés sur plusieurs continents. Ils utilisent anycast pour fournir ce service décentralisé. C'est ainsi que la plupart des serveurs DNS physiques sont à présent situés hors des États-Unis.

Il existe également des DNS alternatifs avec les propres serveurs racine en contradiction avec les serveurs DNS principaux. Le plus connu, AlterNIC, a fait couler beaucoup d'encre.

Les serveurs racines du DNS peuvent également être déclinés localement, sur les réseaux des FAI ou autres. Ils doivent être synchronisés avec le fichier de la zone racine du US Department of Commerce ainsi que le préconise l'ICANN. De tels serveurs ne sont pas des serveurs DNS alternatifs mais une déclinaison locale des serveurs racines du DNS A à M.

Étant donné que les serveurs racines du DNS jouent un rôle important dans l'organisation d'Internet, ils ont eu à subir des attaques à plusieurs reprises. Cependant aucune d'entre elles n'a causé assez de dommages pour obérer sérieusement les performances d'Internet.

Attaques des 21 et 22 octobre 2002

Petit rappel : Si je demande l'adresse IP du site fr.wikipedia.org, ma requête est envoyée à un serveur racine du DNS, qui va ensuite la diriger vers le serveur DNS pour le domaine de premier niveau .org. Si je sature un serveur racine du DNS, il ne pourra répondre à aucune requête. Si je sature les 13 serveurs racines du DNS, les 13 serveurs ne pourront répondre à aucune requête. En fait, si les 13 serveurs racines du DNS tombaient en panne, plus rien (ou presque) ne fonctionnerait sur le net, mis à part les appels par IP.

Les 21 et 22 octobre 2002, la racine complète du DNS a été attaquée, c'est-à-dire les 13 serveurs A à M. L'attaque a connu un relatif succès puisque 7 serveurs sur 13 ont cessé de fonctionner.

Toutefois, l'attaque n'a pas provoqué de grandes perturbations du réseau mondial, ce qui démontre encore une fois la puissance de chacun des serveurs. En fait, l'ensemble des requêtes peut être assuré par un seul serveur selon le PDG de Verisign, qui administre deux DNS root.

L'attaque a été réalisée selon la méthode DoS (déni de service). Les pirates ont pu grâce à un parc de machines gigantesque générer un nombre de requêtes deux à trois fois supérieur à la capacité de charge des treize serveurs visés, soit quarante fois le volume habituel des requêtes !

A la suite de cette attaque, le système Anycast a été mis en place pour neutraliser les attaques de type DoS.

Notes et références

Voir aussi

Articles connexes

Liens externes

  • Portail sur Internet Portail sur Internet
Ce document provient de « Serveur racine du DNS ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Serveur racine DNS de Wikipédia en français (auteurs)

Игры ⚽ Поможем решить контрольную работу

Regardez d'autres dictionnaires:

  • Serveur racine — du DNS Un serveur racine du DNS est un serveur DNS qui répond aux requêtes qui concernent les noms de domaine de premier niveau (top level domain TLD) et qui les redirige vers le serveur DNS de premier niveau concerné. Bien que n importe quel… …   Wikipédia en Français

  • Serveur racine du dns — Un serveur racine du DNS est un serveur DNS qui répond aux requêtes qui concernent les noms de domaine de premier niveau (top level domain TLD) et qui les redirige vers le serveur DNS de premier niveau concerné. Bien que n importe quel opérateur… …   Wikipédia en Français

  • Serveur racine du DNS — Un serveur racine du DNS est un serveur DNS qui répond aux requêtes qui concernent les noms de domaine de premier niveau (top level domain, TLD) et qui les redirige vers le serveur DNS de premier niveau concerné. Bien qu il puisse exister d… …   Wikipédia en Français

  • Serveurs DNS Racine — Serveur racine du DNS Un serveur racine du DNS est un serveur DNS qui répond aux requêtes qui concernent les noms de domaine de premier niveau (top level domain TLD) et qui les redirige vers le serveur DNS de premier niveau concerné. Bien que n… …   Wikipédia en Français

  • Serveurs racines DNS — Serveur racine du DNS Un serveur racine du DNS est un serveur DNS qui répond aux requêtes qui concernent les noms de domaine de premier niveau (top level domain TLD) et qui les redirige vers le serveur DNS de premier niveau concerné. Bien que n… …   Wikipédia en Français

  • Serveurs racines du DNS — Serveur racine du DNS Un serveur racine du DNS est un serveur DNS qui répond aux requêtes qui concernent les noms de domaine de premier niveau (top level domain TLD) et qui les redirige vers le serveur DNS de premier niveau concerné. Bien que n… …   Wikipédia en Français

  • Serveur DNS — Domain Name System Pour les articles homonymes, voir DNS. Pile de protocoles 7 • Application 6 • …   Wikipédia en Français

  • DNS cache poisoning — Empoisonnement du cache DNS L empoisonnement du cache DNS ou pollution de cache DNS (DNS cache poisoning ou DNS cache pollution en anglais) est une technique permettant de leurrer les serveurs DNS afin de leur faire croire qu ils reçoivent une… …   Wikipédia en Français

  • Serveurs DNS — Domain Name System Pour les articles homonymes, voir DNS. Pile de protocoles 7 • Application 6 • …   Wikipédia en Français

  • Empoisonnement Du Cache DNS — L empoisonnement du cache DNS ou pollution de cache DNS (DNS cache poisoning ou DNS cache pollution en anglais) est une technique permettant de leurrer les serveurs DNS afin de leur faire croire qu ils reçoivent une requête valide tandis qu elle… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”