- Serveurs racines DNS
-
Serveur racine du DNS
Un serveur racine du DNS est un serveur DNS qui répond aux requêtes qui concernent les noms de domaine de premier niveau (top-level-domain - TLD) et qui les redirige vers le serveur DNS de premier niveau concerné. Bien que n'importe quel opérateur puisse mettre en place ses propres serveurs racines du DNS, le terme de "serveur racine du DNS" est généralement utilisé pour désigner les treize serveurs racines du DNS qui implémentent la racine du Domain Name System officiel d'Internet.
On peut considérer que tous les noms de domaine sur Internet se terminent par un caractère de fin (par exemple : www.exemple.fr.). Ce point final est généralement implicite. En effet, les logiciels DNS actuels n'ont pas besoin qu'il soit systématiquement présent pour convertir un nom de domaine en adresse IP. La chaîne vide après ce point final est appelé le domaine racine. Tous les autres domaines (.com, .org, .fr, etc.) sont des sous-domaines du domaine racine.
Sommaire
Les requêtes DNS
Lorsqu'un ordinateur connecté à Internet veut résoudre un nom de domaine, il s'y prend de la droite vers la gauche. Il demande à chaque serveur DNS, chacun à son tour, de résoudre l'élément à sa gauche. Les serveurs racines du DNS (qui gèrent le domaine .) connaissent les serveurs qui gèrent les domaines de premier niveau. Chaque domaine de premier niveau (comme .org) possède ses propres serveurs qui, à leur tour, transmettent la demande aux serveurs DNS qui gèrent les noms de domaines particuliers (comme wikipedia.org). Ces serveurs renvoient alors l'adresse IP correspondant au sous-domaine ou à l'hôte (comme fr.wikipedia.org ou www.wikipedia.org).
Dans la pratique, la plupart des informations ne change pas très souvent. Elles sont donc mises en cache et les requêtes DNS nécessaires à destination des serveurs racine restent relativement rares. Une étude de 2003 [1] mentionne que seuls 2% des requêtes à destination de ces serveurs étaient légitimes. Les mises en cache incorrectes ou inexistantes sont à l'origine de 75% des demandes. 12,5% concernent des demandes pour des domaines de premier niveau inconnus, 7% parce qu'elles traitent des adresses IP comme des noms de domaines, etc. Certains ordinateurs de bureau mal configurés tentent même de mettre à jour les enregistrements des serveurs racine, ce qui n'est pas normal. Une liste de problèmes observés et les solutions pour y remédier sont disponibles à RFC 4697.
Les serveurs racines du DNS
Il y actuellement 13 serveurs racines du DNS dont les noms sont de la forme lettre.root-servers.net où lettre est une lettre comprise entre A et M. Sept de ces serveurs ne sont pas de simples serveurs mais correspondent à plusieurs serveurs répartis dans des lieux géographiques divers.
Lettre adresse IPv4 adresse IPv6 Ancien nom Société Localisation Logiciel A 198.41.0.4 2001:503:BA3E::2:30 ns.internic.net VeriSign Dulles, Virginie, États-Unis BIND B 192.228.79.201 2001:478:65::53 ns1.isi.edu USC-ISI Marina Del Rey, Californie, États-Unis BIND C 192.33.4.12 c.psi.net Cogent Communications trafic distribué par anycast BIND D 128.8.10.90 terp.umd.edu Université du Maryland College Park, Maryland, Etats-Unis BIND E 192.203.230.10 ns.nasa.gov NASA Mountain View, Californie, Etats-Unis BIND F 192.5.5.241 2001:500:2f::f ns.isc.org ISC trafic distribué par anycast BIND G 192.112.36.4 ns.nic.ddn.mil Defense Information Systems Agency Columbus, Ohio, Etats-Unis BIND H 128.63.2.53 2001:500:1::803f:235 aos.arl.army.mil U.S. Army Research Lab Aberdeen, Maryland, Etats-Unis NSD I 192.36.148.17 nic.nordu.net Autonomica trafic distribué par anycast BIND J 192.58.128.30 2001:503:C27::2:30 VeriSign trafic distribué par anycast BIND K 193.0.14.129 2001:7fd::1 RIPE-NCC trafic distribué par anycast NSD L 199.7.83.42 (depuis novembre 2007, remplace 198.32.64.12)[2] ICANN trafic distribué par anycast NSD M 202.12.27.33 2001:dc3::35 WIDE Project trafic distribué par anycast BIND Les plus anciens des serveurs possèdent une autre adresse. Il s'agit de ceux qui existaient avant que la règle de nommage actuelle (lettre.root-servers.net) ne soit mise au point.
Les limitations
Il n'est pas possible d'ajouter de nouveaux noms à cause des limites du protocole UDP. En effet les paquets UDP ne peuvent transporter que 512 octets de manière fiable et un fichier qui contiendrait plus de 13 serveurs dépasserait cette limite. Cependant les serveurs C, F, I, J, K, L et M sont maintenant éparpillés sur plusieurs continents. Ils utilisent anycast pour fournir ce service décentralisé. C'est ainsi que la plupart des serveurs DNS physiques sont à présent situés hors des États-Unis.
Il existe également des DNS alternatifs avec les propres serveurs racine en contradiction avec les serveurs DNS principaux. Le plus connu, AlterNIC, a fait couler beaucoup d'encre.
Les serveurs racines du DNS peuvent également être déclinés localement, sur les réseaux des FAI ou autres. Ils doivent être synchronisés avec le fichier de la zone racine du US Department of Commerce ainsi que le préconise l'ICANN. De tels serveurs ne sont pas des serveurs DNS alternatifs mais une déclinaison locale des serveurs racines du DNS A à M.
Étant donné que les serveurs racines du DNS jouent un rôle important dans l'organisation d'Internet, ils ont eu à subir des attaques à plusieurs reprises. Cependant aucune d'entre elles n'a causé assez de dommages pour obérer sérieusement les performances d'Internet.
Attaques des 21 et 22 octobre 2002
Petit rappel : Si je demande l'adresse IP du site fr.wikipedia.org, ma requête est envoyée à un serveur racine du DNS, qui va ensuite la diriger vers le serveur DNS pour le domaine de premier niveau
.org
. Si je sature un serveur racine du DNS, il ne pourra répondre à aucune requête. Si je sature les 13 serveurs racines du DNS, les 13 serveurs ne pourront répondre à aucune requête. En fait, si les 13 serveurs racines du DNS tombaient en panne, plus rien (ou presque) ne fonctionnerait sur le net, mis à part les appels par IP.Les 21 et 22 octobre 2002, la racine complète du DNS a été attaquée, c'est-à-dire les 13 serveurs A à M. L'attaque a connu un relatif succès puisque 7 serveurs sur 13 ont cessé de fonctionner.
Toutefois, l'attaque n'a pas provoqué de grandes perturbations du réseau mondial, ce qui démontre encore une fois la puissance de chacun des serveurs. En fait, l'ensemble des requêtes peut être assuré par un seul serveur selon le PDG de Verisign, qui administre deux DNS root.
L'attaque a été réalisée selon la méthode DoS (déni de service). Les pirates ont pu grâce à un parc de machines gigantesque générer un nombre de requêtes deux à trois fois supérieur à la capacité de charge des treize serveurs visés, soit quarante fois le volume habituel des requêtes !
A la suite de cette attaque, le système Anycast a été mis en place pour neutraliser les attaques de type DoS.
Notes et références
Voir aussi
Articles connexes
Liens externes
- Root Server Technical Operations Association
- DNS Root Server System Advisory Committee
- Bogus Queries received at the Root Servers
- RFC 2826 - IAB Technical Comment on the Unique DNS Root
- Portail sur Internet
Catégorie : Domain Name System
Wikimedia Foundation. 2010.