Cours - 3 DNS

Sous Linux Debian 1
Chapitre 2- DNS (Licence 3 TDSI 2022) Mr DIEDHIOU

§ Objectif
§ Fonctionnement du DNS
§ Configuration et options
§ Attaques
§ Sécurisation
§ Tests
2
Apprendre à mettre en place un serveur DNS sous Linux
3
Cet acronyme signifie en anglais Domain Name System ou en
français système de noms de domaines. C’est un service qui fait
correspondre une adresse IP à un nom de domaine afin de
pouvoir l’identifier et le mémoriser plus facilement.
Par exemple, le nom de domaine www.l3tdsi-ucad.sn est plus

simple à mémoriser pour les humains que l’adresse IP
81.67.245.192 dont les machines raffolent. Sous Linux, Bind est le
service qui permet de gérer le DNS.
4
Assurer la conversion entre les noms d’hôtes et les adresses IP.
Exemple:
vLe nom www.yahoo.fr correspond à l’adresse IP 192.95.93.20 de la
machine www sur le réseau yahoo.fr
5
6
q Trouver le nom à partir de l’adresse
qMême principe que pour les noms
qChaque octet de l’adresse IP est vue comme
un sous domaine.
qUn domaine particulier : arpa
qSous domaines
qin-addr pour les adresses IPV4
qip6 pour les adresses IPV6
7
q Exemple:
paros.imag.fr 229.38.88.129.in-addr.arpa
8
Domaine: sous arbre de l’espace « nom de domaine »
Zone: contient les données propres à une partie de l’espace

« nom de domaine » sous l’autorité d’un serveur de noms (SOA:
start of a zone of authority ou sphere of authority).
Délégation: Transfert de la responsabilité d’une zone à une ou

plusieurs de ses sous-zones.
9
vLe nom qualifié ou complet (FQDN) d'une machine se lit en
partant de la feuille et en remontant dans l'arbre.
vChaque niveau est séparé par un "."
vLe domaine racine n'a pas de nom et par convention est appelé
"."
vChaque niveau de l'arborescence garantie que les noms de ses
fils soient uniques.
vUn nom de domaine est constitué par une suite de noms
séparés par des points.
10
11
vUn serveur de noms
Enregistre les données propres à une partie de l’espace nom
de domaine dans une zone.
Possède l’autorité administrative sur cette zone.
Peut avoir autorité sur plusieurs zones.
12
vTypes de serveurs de noms:
Serveur primaire (maître):
contient l'original des données sur la zone dont il a
l’autorité administrative
Serveur cache (forwarding) :
Relaye des requêtes vers d’autres serveurs
Garde en cache les résultats les plus récents pour un
temps de réponse meilleur
Serveur secondaire (esclave) :
Seconde automatiquement le serveur de noms maître
Interroge périodiquement le serveur de nom primaire
et met à jour les données
13
vIl y a un serveur primaire et généralement plusieurs
secondaires
vUn serveur de nom peut être primaire pour une (des) zone(s) et
secondaire pour d’autre(s).
vServeurs racine (décrits dans /var/named/named.ca)
v Environ 15 serveurs de nom répartis dans le monde
v Connaissent tous les serveurs de premier niveau : .net, .fr, .com, ...
v Serveur origine (ou primaire, ou maitre) géré par IANA/ICANN (IANA
— Internet Assigned Numbers Authority, ICANN-Internet Corporation
for Assigned Names and Numbers)
v Serveurs MIROIRS (ou secondaire, ou esclave)
14
vLa base de données des serveurs de noms = ensemble de RR
répartis en classes
vLa seule classe implémentée: Internet (IN)
Champs type
Entrée Valeur Désignation
A 01 Adresse de l’hôte
NS 02 Nom du serveurs de noms pour ce domaine
CNAME 05 Nom canonique (Nom pointant sur un autre nom)
06 Début de zone d’autorité (informations générales sur la

SOA
zone)
12 Pointeur vers un autre espace du domaine (résolution
PTR
inverse)
HINFO 13 Description de la machine
MX 15 Mail Exchange (Indique le serveur de messagerie)
15
vLe client demande une adresse IP ou la résolution d'un nom par
une requête UDP (ou TCP) sur le port 53 (“domain”)
vListe des serveurs de noms à contacter : /etc/resolv.conf

search <nom_domain>
nameserver <@IP_du_serveur>
16
Ø Le serveur reçoit la requête
Ø Mode récursif : Si le serveur n'a pas de réponse, il demande au

serveur racine ou fait suivre la requête (pour le cas d’un serveur
cache)
Ø Mode itératif : Le serveur sollicité prend le rôle de résolveur
17
18
CONFIGURATION ET OPTIONS
Chapitre 2- DNS (Licence 3 TDSI 2022) Mr DIEDHIOU 19

BIND (Berkeley Internet Name Domain) est le serveur DNS
le plus utilisé sur Internet (79 % des serveurs en 2008),
spécialement sur les systèmes de type UNIX et est
devenu de facto un standard.
Développeur Internet Systems
Consortium (ISC)
Dernière version 9.11.2 (28 juillet
2017)
On installe le service via la commande
#apt install bind9 bind9utils dnsutils
Ports: 53 (udp), 53 (tcp)

20
L’essentiel de la configuration d’un serveur DNS se trouve dans le
répertoire /etc/bind/ où se trouve les fichiers
1. named.conf
2. named.conf.options
3. named.conf.local
et dans le répertoire /etc/ où se trouve les fichiers
1. resolv.conf
2. host.conf
3. hosts
Le fichier de configuration par défaut est /etc/bind/named.conf
21
Attaques & Contremesures

Serveurs DNS envoient régulièrement des requêtes du type
vDNS Query (Quelle est l’adresse de www.abc.tn?)
Serveurs DNS reçoivent alors des réponses du type

v DNS Answer (www.abc.tn => 195.93.66.41)
Ces réponses ne sont pas authentifiées (pas de

cryptographie)
Ø Il est simple de forger une réponse malicieuse à une question
légitime
– DNS spoofing (cache poisoning)
23
24
L’empoisonnement du cache DNS (DNS
Cache Poisoning) ou pollution de cache
DNS est une technique permettant de
tromper les serveurs DNS afin de leur faire
croire qu’ils reçoivent une réponse valide
à une requête qu’ils effectuent, alors
qu’elle est frauduleuse.
25
Pour mener à bien une attaque par DNS Cache
Poisoning, l’attaquant exploite une vulnérabilité
du serveur DNS qui accepte alors des
informations incorrectes.
Si le serveur ne valide pas les informations
reçues et qu’il ne vérifie pas qu’elles
proviennent d’une source fiable, alors il stockera
dans son cache ces informations erronées.
Il les transmettra par la suite aux utilisateurs qui
effectuent la requête visée par l’attaque.
26
Ce type d’attaque par DNS Cache
Poisoning permet, par exemple, d’envoyer
un utilisateur vers un faux site dont le
contenu peut servir à du phising ou
comme vecteur de virus et autres
applications malveillantes. Un ordinateur
présent sur Internet utilise normalement
un serveur DNS géré par le fournisseur
d’accès.
27
Ce serveur DNS est la plupart du temps
limité aux seuls utilisateurs du réseau du
fournisseur d’accès et son cache contient
une partie des informations rapatriées par
le passé. Une attaque par empoisonnement
sur un seul serveur DNS du fournisseur
d’accès peut affecter l’ensemble de ses
utilisateurs, soit directement ou
indirectement si des serveurs esclaves
s’occupent de propager l’information.
28
üVulnérabilité
§ Les messages DNS ne sont pas authentifiées
üAttaque
§ L’attaquant envoie de faux messages à un serveur
DNS local.
§ Réponse qui spécifie un nom de domaine différent que
celui demandé è à ignorer
§ Réponse qui spécifie un serveur DNS appartenant à un
domaine différent de celui demandé è douteux
§ Réponse contenant une adresse suspecte
(frauduleuse)
üRisque
§ Redirection du trafic légitime
29
üSécurisation
§ Configuration du serveur DNS pour qu'il ne résolve
directement que les noms de machine du réseau sur
lequel il a autorité.
§ Autorisez seulement machines internes à demander

la résolution de noms de domaines distants.
§ Mise à jour des logiciels assurant le service DNS
30
üSécurisation
§ Mettre en place la
technologie DNSSEC
Elle permet d’apposer une « signature » numérique
aux données et garantit ainsi à l’utilisateur la validité
de ces données
Mieux comprendre le DNSSEC (suivre le lien ci-

dessous)
https://www.icann.org/resources/pages/dnssec-qaa-2014-01-29-
fr
Configurer DNSSEC sur Debian (suivre le lien ci-

dessous)
https://www.digitalocean.com/community/tutorials/how-to-setup-
dnssec-on-an-authoritative-bind-dns-server--2
31

Cours - 3 DNS

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours - 3 DNS

Transféré par

Droits d'auteur :

Formats disponibles

Sous Linux Debian 1

Chapitre 2- DNS (Licence 3 TDSI 2022) Mr DIEDHIOU

Par exemple, le nom de domaine www.l3tdsi-ucad.sn est plus

Zone: contient les données propres à une partie de l’espace

Délégation: Transfert de la responsabilité d’une zone à une ou

Possède l’autorité administrative sur cette zone.

Peut avoir autorité sur plusieurs zones.

CNAME 05 Nom canonique (Nom pointant sur un autre nom)

06 Début de zone d’autorité (informations générales sur la

MX 15 Mail Exchange (Indique le serveur de messagerie)

vListe des serveurs de noms à contacter : /etc/resolv.conf

Ø Mode récursif : Si le serveur n'a pas de réponse, il demande au

Ø Mode itératif : Le serveur sollicité prend le rôle de résolveur

Chapitre 2- DNS (Licence 3 TDSI 2022) Mr DIEDHIOU 19

Ports: 53 (udp), 53 (tcp)

Chapitre 2- DNS (Licence 3 TDSI 2022) Mr DIEDHIOU 22

Serveurs DNS reçoivent alors des réponses du type

Ces réponses ne sont pas authentifiées (pas de

§ Autorisez seulement machines internes à demander

§ Mise à jour des logiciels assurant le service DNS

Mieux comprendre le DNSSEC (suivre le lien ci-

Configurer DNSSEC sur Debian (suivre le lien ci-

Vous aimerez peut-être aussi