0

RAPPORT DE STAGE
Les attaques DNS

Réalisé par : Ayoub El-Farihi l-Baz

Supervisé par:Mme Nia Hayam
Mme Asmaa El-Baz
 25

Table des matie

Table de figure ………………………………………...……………………………………….

Remerciément ……………………………………………………………………………...

Chapitre 1: présentation de la société ……………...………………………………………

A présentation général de top image ………………………………………………….

B histoire de top image …………………………………………………………

Partie 1 : partie théorique…………………………………………………

DNS (Domain Name System) ……..……………………………………

I. Introduction au DNS

A. Définition du DNS

B. Importance du DNS dans l'infrastructure Internet

C. Avantages du DNS
 25

II. Fonctionnement du DNS

A. Architecture hiérarchique du DNS

B. Serveurs DNS racine

C. Serveurs DNS autoritaires

D. Résolveurs DNS

III. Résolution de noms dans le DNS

A. Processus de résolution de noms

B. Requête DNS et réponse

C. Caching dans le DNS

D. Mise en cache côté client

IV. Types d'enregistrements DNS

A. Enregistrement de ressource A (adresse IPv4)

B. Enregistrement de ressource AAAA (adresse IPv6)

V. Sécurité dans le DNS

A. DNSSEC (Domain Name System Security Extensions)

B. Risques de sécurité liés au DNS

C. Protection contre les attaques DNS (ex. cache poisoning)

 25

VI. Évolution du DNS

A. Extensions et améliorations récentes du DNS

B. IPv6 et son impact sur le DNS

Chapitre 2: les attaques DNS.……………………………………

I. Introduction.……………………………………

I.1 Présentation de LES ATTAQUES DNS.……………………………………

I.2 Types d'attaques DNS.……………………………………

I.3 Conséquences potentielles. .……………………………………

I.4 Mesures de protection.……………………………………

Partie 2: partie pratique.……………………………………

Test d'une attaque et implémentation d'une solution de sécurité .………………………………

II. Chapitre 1: Attaque SPOOFING.……………………………………

II.1 solution de sécurité .……………………………………

 25

Remerciements
Ce n’est pas parce que la tradition l’exige ou par habitude que cette page est présentée dans

mon rapport, mais parce que les personnes auxquels les s’adressent mes remerciements les

méritent vraiment. Je tiens à exprimer ma profonde reconnaissance à toutes les personneayant

contribué de prés ou de loin, par leur aide et assistance, à la réalisation de mon stage aussi je

tiens à adresser remerciementsà Mme ASMAA EL BAZ la directrice pour son accord

d’effectuer mon stage au sein de top image Je remercie plus particulièrement à “Mme

Mostaine Salwa et Mlle EL KHLIFI Siham pour ses encadrements, ses disponibilité, et ses

conseilsqu ’il m’a prodigués tout au long de ma période de stage à top image. Enfin Je noublie

pas non plus ceux qui de près ou de loin, ont directement ou indirectement contribuéau bon

déroulement de mon stage. Ce rapport de fin de stage présente les travaux réalisés dans le

cadre du projet sur les attaques DNS Le stage s'est déroulé sous la supervision de Mme Nia

Hayam et Mme Asmaa El-Baz, durant la période du salon 2021/2023, à l'entreprise Top

Image Ami
 25

CHAPITRE 1
 25

présentation de la société ……………...………………………………………

A-présentation général de top image ……………………………………………………….

PRESTATION DE SERVICE EN TRAVAUX DE PHOTO ET VIDEO ;

-Le négoce en général de tous matériels, produits, fournitures ou accessoires liés a l’objet.

Et plus généralement, toutes activités se rattachant directement ou indirectement a l’objet

Précité ou susceptible d’en favoriser la réalisation et le dévloppemnt ainsi que la prise de

participation intérêt sous toutes ses formes dans les entreprises poursuivant des buts similaires

ou connexe

B histoire de top image …………………………………………………………

La société dite «TOP IMAGE AMI» a été constituée suivant acte sous-seings privés en date à
Casablanca le 24 juillet 2012, enregistré à Casablanca le 15 aout 2012, sous le n° OR
5582/12, RE 5581/12, E15A 5035/12, et immatriculée au registre de commerce de Casablanca
sous le n° 266571. La dite société a été transformée en société à responsabilité limitée régie
par les lois en vigueur et notamment la loi n° 5-96 promulguée par le Dahir n° 1-97-49 du 5
Chaoual 1417 (13 février 1997), ainsi que par les présentes statuts.

- Aux termes de la décision extraordinaire de l’associe unique en date du 15 juin 2021,

il a été décidé :

 La ratification de cession de parts sociales du 14 juin 2021;

 la transformation de la société en SARL d’associe unique.
 La mise à jour des statuts.
25
 25

Partie 1
partie

théorique

Partie 1 : DNS (Domain Name System)

Introduction
A Définition du DNS
 25

Le DNS (Domain Name System) est un système distribué qui traduit les noms de
domaine lisibles par l'homme en adresses IP lisibles par la machine. Il sert de
protocole crucial dans les réseaux informatiques, permettant aux utilisateurs
d'accéder à des sites Web et à d'autres services en ligne en utilisant des noms de
domaine familiers au lieu d'adresses IP complexes.

B. Importance du DNS dans l'infrastructure Internet

Le DNS (Domain Name System) joue un rôle important dans l'infrastructure d'Internet.
Voici quelques points qui sont importants :

 Résolution de nom de domaine : DNS permet de traduire les noms de domaine en adresses
IP. Au lieu de se souvenir
 25

des adresses IP numériques, les utilisateurs peuvent simplement entrer des noms de

domaine dans les navigateurs Web pour accéder aux sites Web correspondants. Cela

facilite l'accès aux ressources en ligne et simplifie la navigation sur Internet.

 Hiérarchique et distribué : le DNS est basé sur une structure hiérarchique et distribuée.

Les serveurs DNS racine, les serveurs DNS faisant autorité et les résolveurs DNS

fonctionnent ensemble pour fournir des informations sur le domaine. Cette

architecture permet une résolution efficace des noms de domaine à grande échelle,

garantissant une disponibilité et des performances optimales.

 Évolutivité : grâce à sa conception distribuée, le DNS est capable de traiter des

milliards de requêtes chaque jour. Il peut accueillir le nombre toujours croissant de

domaines et d'utilisateurs sur Internet sans compromettre les performances.

 Redondance et résilience : le DNS est conçu pour résister aux pannes et aux attaques.

La distribution des serveurs DNS dans le monde entier et la mise en cache des

 réponses DNS réduisent l'impact d'une panne de serveur unique. De plus, des

mécanismes de sécurité tels que DNSSEC améliorent l'intégrité et la fiabilité des

 25

réponses DNS.

 Prise en charge d'autres services : Outre la résolution de noms de domaine, DNS prend

en charge d'autres types d'enregistrements tels que les enregistrements MX pour le

routage des e-mails, les enregistrements TXT pour le stockage d'informations et de

données supplémentaires, les enregistrements SRV pour la découverte de services, etc.

Cela permet à de nombreux services Internet de fonctionner de manière fiable et

cohérente.

 Impact sur l'expérience utilisateur : un DNS rapide et fiable contribue à une expérience

utilisateur fluide et transparente. Une résolution DNS lente ou défaillante peut entraîner

des retards dans le chargement des pages Web, des problèmes de connexion et de la

frustration pour les utilisateurs.

 En bref, le DNS est essentiel pour permettre la convivialité, la disponibilité et les

performances de l'infrastructure Internet. Les ressources en ligne sont faciles d'accès,

soutiennent divers services et jouent un rôle crucial dans la communication publique. Sans

DNS, l'Internet tel que nous le connaissons aujourd'hui ne serait pas possible

C. Avantages du DNS

Le DNS (Domain Name System) présente plusieurs avantages importants :

Convivialité : Le DNS permet aux utilisateurs d'accéder aux sites web et aux services en
utilisant des noms de domaine faciles à retenir, tels que www.example.com, au lieu de devoir
se souvenir des adresses IP numériques correspondantes. Cela simplifie grandement la
 25

navigation sur Internet pour les utilisateurs.

Abstraction des adresses IP : Le DNS abstrait les détails techniques des adresses IP en
fournissant une couche d'abstraction. Les utilisateurs peuvent se concentrer sur les noms de
domaine plus significatifs et plus faciles à comprendre, plutôt que de manipuler directement
des adresses IP complexes.

Flexibilité : Le DNS permet de lier plusieurs noms de domaine à une même adresse IP. Cela
offre une flexibilité pour les sites web qui peuvent être accessibles à partir de différentes
adresses web, ce qui facilite l'accès et la reconnaissance du site pour les utilisateurs.

Évolutivité : Le DNS est conçu pour gérer efficacement un grand nombre de domaines et
d'utilisateurs. Il est capable de gérer des milliards de requêtes quotidiennes et peut facilement
s'adapter à la croissance continue de l'internet sans compromettre les performances.

Gestion centralisée : Le DNS permet une gestion centralisée des noms de domaine. Les
propriétaires de domaines peuvent gérer et mettre à jour leurs enregistrements DNS de
manière centralisée, simplifiant ainsi la gestion et la configuration des noms de domaine.
 25

Redondance et résilience : Le DNS offre des mécanismes de redondance et de résilience.

Les enregistrements DNS peuvent être configurés avec plusieurs adresses IP pour un même
nom de domaine, permettant une répartition de charge et une tolérance aux pannes. Ainsi, si
un serveur devient indisponible, le DNS peut rediriger les utilisateurs vers une adresse IP
alternative, garantissant la disponibilité du site.

Support de services supplémentaires : Le DNS prend en charge divers types

d'enregistrements pour des services supplémentaires tels que le routage d'e-mails
(enregistrements MX), la découverte de services (enregistrements SRV), le stockage
d'informations supplémentaires (enregistrements TXT), etc. Cela permet d'ajouter des
fonctionnalités et des services supplémentaires basés sur le DNS.

II. Fonctionnement du DNS

A. Architecture hiérarchique du DNS

 25

Le fonctionnement du DNS (Domain Name System)

repose sur une architecture hiérarchique qui permet
de résoudre les noms de domaine en adresses IP. Voici une explication détaillée de cette
architecture hiérarchique :

Serveurs racine (Root servers) : Les serveurs racine sont les serveurs DNS de premier
niveau de l'architecture. Ils sont au sommet de la hiérarchie du DNS et sont représentés par le
point ".". Il existe plusieurs serveurs racine stratégiquement répartis dans le monde entier.
Leur rôle principal est de fournir des informations sur les serveurs DNS autoritaires pour les
TLD (Domaines de premier niveau).

Serveurs de noms de domaine de premier niveau (TLD servers) : Les serveurs de noms
de domaine de premier niveau sont responsables de gérer les TLD, qui représentent la partie
la plus à droite des noms de domaine. Il existe deux types de TLD :

 TLD génériques (gTLD) : Ils représentent des catégories générales telles que .com, .org,

.net, .edu, etc.

 TLD géographiques (ccTLD) : Ils représentent des pays et des territoires spécifiques, tels

que .us pour les États-Unis, .uk pour le Royaume-Uni, .fr pour la France, etc.
Les serveurs de noms de domaine de premier niveau sont responsables de fournir des
informations sur les serveurs DNS autoritaires pour les domaines situés sous chaque TLD.

Serveurs DNS autoritaires (Authoritative DNS servers) : Les serveurs DNS autoritaires
sont responsables de gérer les informations sur les noms de domaine spécifiques. Chaque
domaine a ses propres serveurs DNS autoritaires qui stockent les enregistrements DNS pour
 25

ce domaine. Ces enregistrements incluent des informations telles que les adresses IP associées
aux noms de domaine, les enregistrements MX pour le routage des e-mails, les
enregistrements TXT pour les informations supplémentaires, etc.

Résolveurs DNS (DNS resolvers) : Les résolveurs DNS, également appelés serveurs de
noms
récursifs, sont utilisés par les utilisateurs finaux pour effectuer des requêtes DNS. Lorsqu'un
utilisateur souhaite accéder à un site web en utilisant un nom de domaine, le résolveur DNS
est chargé de résoudre ce nom de domaine en une adresse IP correspondante. Il effectue une
séquence de requêtes aux serveurs DNS pour atteindre le serveur autoritaire du domaine et
l'adresse IP.

Le processus de résolution DNS se déroule généralement de la manière suivante :

1 L'utilisateur entre un nom de domaine dans son navigateur web.

2 Le résolveur DNS de l'utilisateur envoie une requête DNS au serveur DNS le plus proche.
3Le serveur DNS vérifie s'il a les informations dans son cache. S'il a les informations
demandées, il les renvoie au résolveur DNS de l'utilisateur.
4 Si le serveur DNS n'a pas les informations demandées, il envoie une requête DNS aux
serveurs racine pour obtenir les informations sur les serveurs de noms de domaine de premier
niveau correspondants.
5 Le serveur DNS rac

B. Servers DNS racine

Les serveurs DNS racine font partie de l'infrastructure essentielle du DNS (Domain Name
 25

System). Ils constituent le point de départ de la résolution des noms de domaine et jouent un
rôle crucial dans le fonctionnement global du système. Voici quelques informations sur les
serveurs DNS racine :

Nombre de serveurs racine : Il existe 13 serveurs racine DNS dans le monde entier. Ils sont
identifiés par des lettres de A à M. Ces serveurs sont répartis géographiquement, ce qui
garantit une meilleure résilience et une répartition de la charge.

Adresses IP des serveurs racine : Chaque serveur racine a plusieurs adresses IP associées,
ce qui permet une redondance et une disponibilité élevées. Les adresses IP sont réparties dans
différentes plages d'adresses IPv4 et IPv6.

Fichier de zone racine : Chaque serveur racine maintient un fichier de zone racine, qui
contient les enregistrements des serveurs de noms de domaine de premier niveau (TLD). Ces
enregistrements indiquent les adresses IP des serveurs de noms de domaine de premier niveau
responsables de chaque TLD.

Interrogation itérative : Lorsqu'un résolveur DNS reçoit une requête pour résoudre un nom
de domaine, il interroge d'abord l'un des serveurs racine pour obtenir des informations sur le
serveur de noms de domaine de premier niveau approprié. Le serveur racine renvoie ensuite
une réponse indiquant l'adresse IP du serveur de noms de domaine de premier niveau.

Anycast : Les serveurs racine utilisent la technique de l'anycast, ce qui signifie qu'ils
 25

partagent la même adresse IP sur plusieurs serveurs physiquement répartis. Cela permet de
répartir la charge et d'améliorer les performances et la disponibilité du service.

Autorités de gestion : Les serveurs racine sont gérés par diverses autorités de gestion à
travers le monde, notamment l'Internet Corporation for Assigned Names and Numbers
(ICANN) et des organisations nationales ou régionales.

Les serveurs DNS racine sont essentiels pour la résolution des noms de domaine. Ils
fournissent des informations de base sur les serveurs de noms de domaine de premier niveau,
ce qui permet au système DNS de localiser et de résoudre les noms de domaine en adresses IP

C. Serveurs DNS autoritaires

 Quand Internet un utilisateur tape un nom de domaine dans un navigateur Web , l'ordinateur

doit traduire cette plaine - Anglais universal resource locator , URL ou dans un protocole

machine conviviale Internet ou IP, l'adresse . Pour effectuer cette traduction , ordinateurs

contacter un service de nom de domaine , ou DNS , serveur à l'aide. Cette aide peut provenir

soit d' un serveur faisant autorité ou ne faisant pas autorité . Photos, illustrations serveurs

DNS

définition se répartissent en deux catégories générales , selon le site de référence INet

Daemon Internet . En référence à un nom de domaine particulier , un serveur DNS peut être

soit autorisée ou non autorisée . Les serveurs autoritaires maintiennent une copie complète du

fichier de zone du domaine et peuvent fournir des réponses aux questions sur n'importe quel
 25

port ou d'un service - comme le protocole de fichier de transfert ( FTP) , telnet ou d'échanger

du courrier (MX) - sur le domaine. Les serveurs DNS non- autorisées peuvent avoir cette

information, mais ne maintenir qu'une copie de l'information et peuvent ne pas avoir les

dernières mises à jour sur les services sur le domaine.

Identification

D. Résolveurs DNS

Le résolveur récursif désigne l'ordinateur qui répond à la requête récursive d'un client et prend
le temps de suivre l'enregistrement DNS. Il lance pour cela une série de requêtes jusqu'à
atteindre le serveur de noms DNS de référence pour l'enregistrement demandé (la requête
expire ou renvoie une erreur si aucun enregistrement n'est trouvé). Heureusement, les
résolveurs DNS récursifs n'ont pas toujours à effectuer plusieurs requêtes pour rechercher les
enregistrements permettant de répondre à un client. En tant que processus de persistance des
données, la mise en cache permet de court-circuiter les requêtes nécessaires en fournissant
l'enregistrement de la ressource demandée plus tôt au sein de la recherche DNS.
 25

III. Résolution de noms dans le DNS

A. processus de résolution de noms

 Présentation

Le mécanisme permettant de trouver une adresse IP correspondant au nom d’une

machine s’appelle la résolution de nom de domaine. Généralement, on effectue cette

opération grâce à un logiciel ou une application, la plupart du temps, intégrée

au système d’exploitation, appelé résolveur.

Ainsi, lorsqu’une application souhaite se connecter à un hôte connu de par son nom de

domaine, elle  interroge le serveur de noms défini dans sa configuration réseau. Chaque

machine connectée à ce même réseau possède alors dans son paramétrage les adresses IP des

deux serveurs de noms liés au fournisseur d’accès à Internet.

L’application ou le client envoie alors une requête au premier serveur de noms (appelé

serveur primaire). Si celui-ci possède l’enregistrement dans son cache, il renvoie le résultat

 25

à l’application. Dans le cas contraire, il interroge un serveur racine TLD. Ce dernier lui

renvoie alors une liste de serveurs de noms faisant autorité sur le domaine :

Les hôtes n’ont qu’une connaissance limitée du système et de l’ampleur des noms de
domaine. Lorsqu’ils doivent résoudre un nom, ils s’adressent à un (ou à plusieurs) serveur de
noms, alors appelés récursifs, en raison de leur facilité à parcourir la hiérarchie DNS et de
faire suivre la requête à un ou plusieurs autres serveurs de noms en mesure de répondre.

Serveurs DNS récursifs

Les adresses IP des serveurs récursifs, sont souvent récupérées via le protocole DHCP ou
carrément configurées en dur, sur le serveur concerné. Les fournisseurs d’accès à Internet (ou
FAI), mettent à disposition des clients, ces serveurs récursifs. Il existe également des
serveurs récursifs ouverts, tels que Google Public DNS ou OpenDNS. Les serveurs
récursifs s’apparentent donc aux serveurs primaire et secondaire mentionnés plus haut.
Afin d’optimiser ce processus itératif permettant de trouver une adresse IP à partir d’un nom,
les serveurs DNS font souvent office de cache DNS : c’est-à-dire qu’ils gardent en mémoire
(appelée cache), la réponse d’une résolution de nom antérieure afin d’optimiser les
requêtes ultérieures et ne pas effectuer cette recherche à nouveau, par la
suite. L’information est conservée en cache durant une période appelée "time to live" et est
associée à chacun des noms de domaine.
On dit des serveurs primaires et secondaires qu’ils font autorité. Cela signifie qu’ils ne font
appels à aucun autre serveur pour récupérer la réponse à leur requête ou ils peuvent
éventuellement piocher dans le cache. Ce dernier peut d’ailleurs conduire à des réponses
obsolètes. Lorsqu’une telle réponse arrive, on parle alors de réponse non autoritaire (non-
authoritative answer).
 25

Grâce à ce modèle, le réseau Internet dispose d’une confortable continuité de service

dans le mécanisme de résolution de noms. De plus, lorsqu’un serveur DNS tombe en panne
ou est indisponible, le bon fonctionnement est assuré grâce aux serveurs secondaires.

Résolution de noms inversée

S’il est possible de résoudre une adresse IP par rapport à un nom de domaine, il est
également possible de disposer de l’information inverse : trouver un nom de domaine
depuis une adresse IP. L’opération est sensiblement la même que pour la résolution de nom.
Dans un nom de domaine on a la partie la plus générale à droite.
Donc, pour le nom de domaine it-connect.fr, la résolution parcourt alors le nom de domaine
de droite à gauche.

REMARQUE : pour une adresse IPv4 250.32.54.3, la partie la plus générale se trouve à

gauche : 250. Afin de conserver une méthode cohérente, il suffit d’inverser l’ordre des quatre
membres de l’adresse IP et de les concaténer au pseudo-domaine in-addr.arpa.
Exemple  : trouver le domaine de l’adresse 80.198.14.2 revient à résoudre 2.14.198.80.in-
addr.apra.
IMPORTANT : la déclaration inverse est très importante concernant les adresses IP
publiques Internet (cf. cours Réseau TCP/IP), car l’absence d’une résolution inverse est
considérée comme une erreur et est décrit dans la RFC1912. Cela peut entraîner le refus
d’accès au service.

Bien évidemment, cette résolution inverse, dans le cadre de diagnostique réseau, permet de

rendre la commande traceroute, utilisée pour tracer le chemin emprunté par les paquets
d’informations entre une source et son destinataire, beaucoup plus lisible et
exploitable. Les spécifications de noms d’hôtes inverses sont souvent composées de sous-
domaines de localisations telles que ville, région, pays… et de domaines précisant le
fournisseur d’accès à Internet par lequel transitent les requêtes :
xxxx.Aubervilliers.routers.proxad.net (pour Free Telecom).
Une adresse IP peut être associée à plusieurs noms de domaine différents que l’on
précise lors de la déclaration des entrées PTR, dans le sous-domaine .arpa dédié à cette
adresse (in-addr.arpa pour une adresse de type IPv4 et ip6.arpa pour le protocole IPv6). Ce
type de déclaration d’enregistrements PTR multiples pour une même adresse IP sert surtout
dans le cadre d’hébergement virtuel de plusieurs domaines web derrière la même adresse IP.
ATTENTION : ce genre de déclaration n’est pas recommandée, car le nombre de champs
PTR à renvoyer peut faire déborder la taille des paquets UDP  de réponse et, de fait, entrainer
l’utilisation du protocole TCP, plus coûteux, afin d’envoyer la requête de retour DNS.
En termes de performance, afin d’assurer une certaine qualité de service et permettre
l’équilibrage de charge, en cas de trafic important, le service peut faire appel à la technique
dite du DNS round-robin (ou DNS tourniquet), consistant à associer plusieurs adresse IP à
un même FQDN. L’ordre dans lequel ces adresses sont renvoyées est modifié d’une requête à
l’autre. Une rotation circulaire permet alors de répartir la charge générée par le trafic ambiant,
entre les différentes machines ayant ces adresses IP. Toutefois, cette répartition n’a lieu qu’à
 25

la résolution du nom de machine, et subsiste par la suite, dans le cache des différents
résolveurs (donc les clients DNS).

B. Requéte DNS et réponse

Comment faire une requête DNS ?

Le DNS (Domain Name System) est un système qui permet de traduire les noms de domaine
en adresses IP. Il joue donc un rôle essentiel dans le fonctionnement d’Internet. Pour faire une
requête DNS, il suffit de suivre les étapes suivantes :

1. Ouvrez l’invite de commande : Pour cela, cliquez sur le bouton « Démarrer » de

Windows, tapez « cmd » dans la barre de recherche et cliquez sur « Invite de
commande ».
2. Tapez la commande « nslookup » suivie du nom de domaine : Par exemple, si vous voulez
connaître l’adresse IP de Google, tapez « nslookup google.com ».

3. Appuyez sur Entrée : Le système va alors afficher l’adresse IP correspondante, ainsi

que le nom et l’adresse du serveur DNS utilisé.
Quel est le rôle du DNS ?

Le DNS permet de faciliter la navigation sur Internet en traduisant les noms de domaine en
adresses IP. Sans lui, il serait difficile de se souvenir de toutes les adresses IP des sites web
que l’on souhaite visiter. De plus, le DNS permet de répartir la charge entre les différents
serveurs web et de gérer les adresses IP dynamiques.

Comment résoudre le problème de serveur DNS ?

Si vous rencontrez des problèmes de connexion à Internet dus à un serveur DNS défaillant,
voici quelques solutions possibles :

– Redémarrez votre modem ou votre routeur

– Modifiez les serveurs DNS utilisés par votre connexion Internet

– Désactivez temporairement votre pare-feu ou votre antivirus

 25

– Réinitialisez les paramètres TCP/IP de votre ordinateur

Où trouver le DNS sur ordinateur ?

Sur un ordinateur Windows, vous pouvez trouver les paramètres DNS en suivant ces étapes :

1. Cliquez sur le bouton « Démarrer » et ouvrez « Paramètres ».

2. Cliquez sur « Réseau et Internet ».

3. Cliquez sur « Modifier les options d’adaptateur ».

4. Cliquez avec le bouton droit sur votre connexion Internet et sélectionnez « Propriétés ».

5. Cliquez sur « Protocole Internet version 4 (TCP/IPv4) » et cliquez sur « Propriétés ».

6. Cochez la case « Utiliser l’adresse de serveur DNS suivante » et entrez les adresses des
serveurs DNS que vous souhaitez utiliser.

Comment avoir un DNS gratuit ?

Il existe plusieurs services de DNS gratuits disponibles sur Internet, tels que Google Public
DNS, OpenDNS et Cloudflare DNS. Pour utiliser ces services, il suffit de modifier les
paramètres DNS de votre connexion Internet en utilisant les adresses fournies par le service
de votre choix.

Où se trouve le serveur DNS ?

Le serveur DNS peut être situé n’importe où dans le monde. Lorsque vous faites une requête
DNS, le système utilise le serveur DNS le plus proche de vous pour obtenir la réponse le plus
rapidement possible. Les fournisseurs d’accès Internet ont également leur propre serveur DNS
pour gérer les adresses IP de leurs utilisateurs.

FAQ
 25

Comment trouver le DNS d’un site ?

Pour trouver le DNS d’un site, vous pouvez utiliser la commande « nslookup » dans l’invite
de commande de votre ordinateur. Il suffit de saisir « nslookup » suivi du nom de domaine du
site dont vous voulez connaître le DNS. Le DNS apparaîtra dans la section « Adresse » de la
réponse de la commande.

Quelles sont les différents types d’enregistrement DNS ?

Il existe plusieurs types d’enregistrements DNS, notamment les enregistrements A, les
enregistrements MX, les enregistrements CNAME, les enregistrements TXT, les
enregistrements SRV, les enregistrements AAAA, et les enregistrements NS. Chacun de ces
types d’enregistrements sert à fournir des informations spécifiques sur un domaine et à aider à
acheminer le trafic Internet vers les serveurs appropriés.

Pourquoi deux DNS ?

Il y a souvent deux DNS pour assurer une redondance et une disponibilité maximale en cas de
panne ou de problème avec l’un des serveurs DNS. Ainsi, lorsque l’un des serveurs ne peut
pas répondre à une requête DNS, l’autre serveur peut prendre le relais pour assurer le bon
fonctionnement du réseau.

C. Caching dans le DNS

Le cache DNS est une forme de stockage temporaire pour des informations concernant les
recherches faites sur un système d’exploitation ou un navigateur internet. Si vous utilisez
constamment votre site web, alors votre système d’exploitation aura une copie locale et
pourra donc récupérer rapidement lors de la prochaine ouverture. Gardez à l’esprit que l’URL
de votre site coïncide avec l’adresse IP de votre système.

Nous vous ferons découvrir dans cet article tout ce qu’il y a à savoir sur le cache DNS à
travers les points suivants :

1. Quelle est l’Importance du Cache DNS ?

2. Comment Vérifier le Cache DNS ?
3. Quels sont les Objectifs du Cache DNS ?
 25

4. Comment Gérer le Cache DNS vis Strikingly ?

1. Quelle est l’Importance du Cache DNS ?

Pour commencer, le nettoyage des caches est un facteur essentiel pour permettre un accès
rapide aux sites web. Si votre adresse IP a été mise à jour et que votre site a changé
d’emplacement, alors votre navigateur peut afficher une erreur 404. Dans ce cas précis, même
si votre site est en ligne, votre cache donnera une adresse IP incorrecte à votre navigateur.
Cela empêchera vos utilisateurs d’interagir avec vous.

Deuxièmement, la suppression des caches vous aidera également à améliorer la sécurité de

votre réseau. La majorité des systèmes d’exploitation comme Windows, peuvent créer un
cache DNS. Même si cette capacité est destinée à maintenir l’efficacité des recherches, elle
montre le lien qu’il y a entre un système d’exploitation et un navigateur web. En supprimant
votre cache DNS, vous empêcherez les logiciels malveillants d’abuser de vos informations
personnelles.

Grâce à la suppression de votre cache DNS, vous pourrez améliorer la vitesse de chargement
de vos pages web. Si vous ouvrez votre site pour la première fois, il affichera une petite image
afin que le système d’exploitation puisse le reconnaître lors des prochaines visites.

Les caches peuvent diminuer la vitesse de chargement de votre site web. En publiant des
contenus et des images de haute qualité, les visiteurs peuvent rencontrer des problèmes
puisque les temps de chargement sont très lents. C’est pour cela qu’il est recommandé de
vider votre cache DNS afin d’obtenir de meilleurs résultats dans les recherches Google.

Les mauvais classements dans les résultats de recherche sont généralement dus à des conflits
entre l’image créée par votre système d’exploitation et les modifications apportées à votre site
web. Vous devrez par conséquent, chercher un autre navigateur ou choisir le mode privé.
Assurez-vous de vider votre cache DNS aussi souvent que vous le pouvez.

2. Comment Vérifier le Cache DNS ?

Si vous souhaitez vider votre Cache DNS, vous pouvez suivre les instructions que votre
système d’exploitation a mis en place pour vous. Chaque système a une séquence
d’instructions pour afficher le contenu d’un cache spécifique. C’est un processus assez
courant pour les développeurs du monde entier.

C’est en fonction de votre système d’exploitation et de votre navigateur que vous pourrez
suivre les instructions suivantes :

∙ Windows

Pour vérifier votre cache DNS sous Windows, il suffit d’aller sur votre Invite de Commande
et de taper “ipconfig/displaydns”. En cliquant sur entrer vous accéderez à tous vos
enregistrements DNS. En combinant cela avec un certificat SSL, vous pourrez assurer votre
sécurité et celle de vos utilisateurs.
 25

∙ Mac

La vérification du cache DNS sur MAC se fait de cette manière :

1. Ouvrez votre application “Terminal” et tapez “sudo discoveryutil udnscachestats”

2. Entrez votre mot de passe
3. Vous aurez ensuite accès à votre cache unicast
4. Une fois que vous avez terminé vos recherches, vous pouvez le refermer puis l’ouvrir
de nouveau et taper “sudo discoveryutil mdnscachestats”
5. En entrant votre mot de passe, vous pourrez visualiser tous les résultats du cache
multicast

∙ Linux

Contrairement à Windows et MAC, Linux ne crée pas de cache DNS automatiquement. Vous
pourrez cependant utiliser certaines applications qui proposent ce service.

Strikingly est un constructeur de sites qui travaille très dur pour améliorer les statistiques
concernant les sites web. L’équipe technique se concentre particulièrement sur l’amélioration
de la vitesse de chargement des pages web. Le score obtenu pour les majorité des sites créés
avec Strikingly, dépasse les 90%. C’est grâce à cela que vous pouvez obtenir de bons résultats
de référencement et recevoir des commentaires positifs de la part de vos utilisateurs et clients.

3. Quels sont les Objectifs du Cache DNS ?

Internet s’appuie sur les noms de domaine enregistrés pour créer une sorte d’index et
répertorier les sites web ainsi que leurs adresses IP. Ces noms de domaine sont donc
considérés comme un annuaire téléphonique. Cela prend en compte tous les détails
nécessaires d’un site web.

En utilisant un répertoire, vous n’aurez pas à vous souvenir du numéro de téléphone de

chaque personne que vous souhaitez contacter. C’est grâce à cela que les téléphones mobiles
peuvent interagir les uns avec les autres. C’est la même chose pour les sites web, puisque
 25

votre cache DNS vous permettra d’enregistrer les différentes adresses IP des sites web afin
que les systèmes d’exploitation puissent faire leur travail.

Pour accélérer un site web lent, vous devez savoir ce qu’est un cache DNS. Lorsque vous
demandez à votre navigateur de charger un site web en particulier, il enverra une demande à
votre routeur pour obtenir son adresse IP. Puisque votre serveur DNS a déjà enregistré
l’adresse, alors il l’indiquera directement à votre navigateur pour ne pas perdre de temps.
C’est ce qui permettra à votre navigateur de charger le site plus rapidement.

C’est un cycle qui se répète pour chaque site web que vous visitez. Chaque fois que vous vous
connectez à un site, votre navigateur envoie une demande à votre serveur. Cette demande ne
sera garantie que si le nom de votre site dispose d’une conversion en adresse IP. C’est ce qui
rend le cache DNS si intéressant.

4. Comment Gérer le Cache DNS vis Strikingly ?

Un créateur de sites comme Strikingly, est un outil intéressant pour vérifier votre cache DNS
facilement. Il est très facile de gérer les enregistrements DNS pour n’importe quel utilisateur
de la plateforme.

Vous trouverez ci-dessous le guide avec des étapes qui vous permettront de vérifier votre
cache DNS. Si vous n’avez pas encore de nom de domaine, vous pouvez en acheter un et
l’enregistrer directement avec Strikingly.

∙ Étape 1

∙ Étape 2
 25

Cliquez ensuite sur l’onglet domaine pour vérifier votre nom de domaine et consulter les
éléments suivants :

1. Statut du domaine
2. Coordonnées du domaine et détails d’enregistrement
3. Détails concernant le renouvellement de domaine
4. Gestionnaire DNS pour vérifier votre cache DNS.

∙ Étape 3
 25

Vous devez vérifier votre domaine et son état. Il existe plusieurs statuts pour un domaine. Il
peut être “en ligne” ce qui signifie que votre domaine est actif. Il peut être “en attente” ce qui
veut dire que le domaine est en cours de finalisation. Il peut également être “non vérifié” si
vous n’avez pas validé toutes vos informations de contact.

Avant de continuer, vous devez vérifier votre cache DNS et le vider pour connaître votre
statut de domaine.

∙ Étape 4
 25

Il est nécessaire de vérifier toutes vos informations de contact ainsi que vos détails
d’inscription. Si vous souhaitez apporter des modifications à vos coordonnées, vous pouvez
envoyer un mail à “support@strikingly.com”. Une fois que les modifications ont été vérifiées,
votre domaine sera verrouillé pendant 60 jours.

∙ Étape 5
 25

Il est possible de gérer le renouvellement de votre domaine selon ce que vous souhaitez. C’est
aussi simple que de vider votre cache DNS.

∙ Étape 6
 25

Pour accéder à votre gestionnaire DNS, il vous suffira de cliquer sur “Paramètres” puis sur
“Ouvrir le Gestionnaire DNS”. C’est à partir de là que vous pourrez gérer vos enregistrements
DNS et votre cache DNS. Il existe six types d’enregistrements qui sont :

1. VRS
2. CNAME
3. SMS
4. MX
5. FPS
6. NS

Si votre site web n’est pas actif dans les 48 heures suivant la création, vous pouvez consulter
le Chat en Direct de Strikingly. Ajoutez simplement une capture d’écran de votre problème et
nos spécialistes vous aideront à le résoudre. Le chat est disponible 24 heures sur 24 et 7 jours
sur 7.
 25

Pour Conclure
Pour vider votre cache DNS, vous devrez mettre un ensemble de commande sur votre invite
de commande ou sur votre terminal en fonction du système d’exploitation que vous utilisez.
Vous pourrez ainsi résoudre plusieurs problèmes liés à votre connectivité internet et à votre
sécurité réseau.

En vidant votre cache DNS, vous empêcherez des recherches complètes qui peuvent ralentir
le chargement de vos pages web. C’est une procédure qui ne doit être effectuée qu’une seule
fois lorsque vous accédez à un site web en particulier. Votre navigateur utilisera les
informations de votre cache DNS jusqu’à ce que vous le vidiez.

Strikingly est une plateforme qui vous proposera différents modèles tout en vous proposant
des fonctionnalités qui sont susceptibles d’affecter votre expérience lors de votre conception
web. Vous y trouverez des fonctionnalités pour créer et gérer votre domaine personnalisé.

D. Mise en cache coté client

La mise en cache côté client stocke le jeu de résultats dans la mémoire du client, ce qui
améliore les performances côté client. Un client peut revisiter un objet à plusieurs reprises
sans plusieurs déplacements vers le serveur. Par défaut, ADSI met en cache le jeu de résultats
pour les clients. Cela permet à ADSI de fournir aux clients la prise en charge des curseurs de
type SQL. Vous pouvez itérer plusieurs fois au sein d’un jeu de résultats donné.

ADSI permet également aux clients de désactiver le cache pour réduire les besoins en
mémoire. Si la mise en cache côté client est désactivée, le client ne conserve pas le jeu de
résultats en mémoire. Chaque ligne est libérée une fois que l’application l’a récupérée. La
désactivation de la mise en cache côté client peut être utile pour réduire les besoins en
mémoire côté client dans des cas tels que lorsque vous avez l’intention d’effectuer un seul
passage dans le jeu de résultats. Toutefois, lorsque les clients choisissent de ne pas mettre en
cache le résultat, ils abandonnent la prise en charge des curseurs.
 25

IV. Types d’enregistrement DNS

A. Enregistrement de ressource A (adresse IPv4)

1. Dans le Gestionnaire de serveur, cliquez sur IPAM. La console cliente IPAM s’affiche.

2. Dans le panneau de navigation, dans ESPACE D’ADRESSAGE IP, cliquez

sur Inventaire d’adresses IP. Dans le volet de navigation inférieur, cliquez
sur IPv4 ou IPv6. L’inventaire des adresses IP s’affiche dans la vue de recherche du volet
d’affichage. Recherchez et sélectionnez l’adresse IP dont vous souhaitez afficher les
enregistrements de ressources DNS.
 25

3. Dans la vue Détails du volet d’affichage, cliquez sur Enregistrements de ressources

DNS. Les enregistrements de ressources associés à l’adresse IP sélectionnée sont affichés.
 25

B. Enregistrement de ressource AAAA (adresse IPv4)

 25

Les enregistrements DNS AAAA font correspondre un nom de domaine à une adresse IPv6.
Les enregistrements DNS AAAA sont exactement comme les enregistrements DNS A, sauf
qu'ils stockent l'adresse IPv6 d'un domaine au lieu de son adresse IPv4.

IPv6 est la dernière version du protocole Internet (IP). L'une des différences importantes entre
IPv6 et IPv4 est que les adresses IPv6 sont plus longues que les adresses IPv4. L'internet
commence à manquer d'adresses IPv4, tout comme il n'y a qu'un nombre limité de numéros de
téléphone possibles pour un indicatif régional donné. Mais les adresses IPv6 offrent un
nombre exponentiel de permutations et donc beaucoup plus d'adresses IP possibles.

À titre d'exemple de la différence entre les adresses IPv4 et IPv6, Cloudflare propose
un résolveur DNS public que tout le monde peut utiliser en réglant le DNS de son appareil sur
1.1.1.1 et 1.0.0.1. Il s'agit des adresses IPv4. Les adresses IPv6 pour ce service sont
2606:4700:4700::1111 et 2606:4700:4700::1001.

Exemple d'enregistrement DNS AAAA

Voici un exemple d'enregistrement AAAA :

example.com type d'enregistrement : valeur : TTL

2001:0db8:85a3:0000:
@ AAAA 14400
0000:8a2e:0370:7334
 25

Comme les enregistrements A, les enregistrements AAAA permettent aux dispositifs clients
d'apprendre l'adresse IP d'un nom de domaine. Le dispositif client peut alors se connecter au
site Web et le charger.

Les enregistrements AAAA ne sont utilisés que lorsqu'un domaine possède une adresse IPv6
en plus d'une adresse IPv4, et que le dispositif client en question est configuré pour utiliser
IPv6. Si tous les domaines possèdent une ou plusieurs adresses IPv4 et les enregistrements A
qui les accompagnent, tous les domaines ne possèdent pas d'adresses IPv6 et tous les
dispositifs utilisateurs ne sont pas configurés pour utiliser IPv6.

Cependant, l'adoption d'IPv6 est en train de croître. Cela continuera probablement à être le cas
car le nombre d'adresses IPv4 disponibles diminue rapidement, ce qui oblige souvent
plusieurs appareils à partager une adresse IPv4. Pour lutter contre ce phénomène, Cloudflare a
commencé à activer IPv6 pour tous les clients en 2016.

Il est probable qu'à l'avenir, tous les domaines auront des enregistrements AAAA.
 25

C. Enregistrement de ressource MX (routage de messagerie)

Qu'est-ce qu'un enregistrement DNS MX ?

Un enregistrement DNS « échange de mails » (MX - Mail Exchange) dirige le courrier

électronique vers un serveur de courrier. L'enregistrement MX indique comment les messages
électroniques doivent être acheminés conformément au protocole de transfert de courrier
simple (SMTP, le protocole standard pour tous les e-mails). Comme les enregistrements
CNAME, un enregistrement MX doit toujours pointer vers un autre domaine.

Exemple d'enregistrement MX :

exemple.com type d'enregistrement : priorité : valeur : TTL

@ MX 10 mailhost1.exemple.com 45000
@ MX 20 mailhost2.exemple.com 45000

Les numéros de « priorité » précédant les domaines pour ces enregistrements MX indiquent la
préférence ; la valeur de « priorité » la plus faible est préférée. Le serveur essaiera toujours
mailhost1 en premier, car 10 est inférieur à 20. En cas d'échec de l'envoi d'un message, le
serveur essaiera par défaut le mailhost2.

Le service de messagerie peut également configurer cet enregistrement MX de sorte que les
deux serveurs aient la même priorité et reçoivent la même quantité de courrier :

exemple.com type d'enregistrement : priorité : valeur : TTL

@ MX 10 mailhost1.exemple.com 45000
@ MX 10 mailhost2.exemple.com 45000

Cette configuration permet au fournisseur de messagerie électronique d'équilibrer la

charge entre les deux serveurs.
 25

Quel est le processus d'interrogation d'un enregistrement MX ?

Le logiciel d'agent de transfert de messages (MTA) est responsable de l'interrogation des

enregistrements MX. Lorsqu'un utilisateur envoie un e-mail, le MTA envoie une requête DNS
pour identifier les serveurs de messagerie des destinataires de l'e-mail. Le MTA établit une
connexion SMTP avec ces serveurs de messagerie, en commençant par les domaines
prioritaires (dans le premier exemple ci-dessus, mailhost1).

Qu'est-ce qu'un enregistrement MX de secours ?

Un enregistrement MX de secours est simplement un enregistrement MX pour un serveur de

messagerie avec une valeur de « priorité » supérieure (ce qui signifie une priorité inférieure),
de sorte que, dans des circonstances normales, le courrier ira vers les serveurs les plus
prioritaires. Dans le premier exemple ci-dessus, mailhost2 serait le serveur « de secours », car
le trafic de courrier électronique sera traité par mailhost1 tant qu'il sera opérationnel.

Les enregistrements MX peuvent-ils pointer vers un CNAME ?

Un enregistrement CNAME est utilisé pour référencer l'alias d'un domaine au lieu de son nom
réel. Les enregistrements CNAME pointent généralement vers un enregistrement A (en IPv4)
ou un enregistrement AAAA (en IPv6) pour ce domaine. Cependant, les enregistrements MX
doivent pointer directement vers l'enregistrement A ou l'enregistrement AAAA d'un serveur.
Pointer vers un CNAME est interdit par les documents RFC qui définissent le fonctionnement
des enregistrements MX.

D. Enregistrement de ressource CNAME (alias de domaine)

 25

Qu'est-ce qu'un enregistrement DNS CNAME ?

L'enregistrement de « nom canonique » (CNAME) est utilisé à la place d'un enregistrement A,

lorsqu'un domaine ou un sous-domaine est un alias d'un autre domaine. Tous les
enregistrements CNAME doivent pointer vers un domaine, jamais vers une adresse IP.
Imaginez une chasse au trésor où chaque indice pointe vers un autre indice, et où l'indice final
pointe vers le trésor. Un domaine avec un enregistrement CNAME est comme un indice qui
peut vous mener à un autre indice (un autre domaine avec un enregistrement CNAME) ou au
trésor (un domaine avec un enregistrement A).

Par exemple, supposons que blog.exemple.com possède un enregistrement CNAME avec la

valeur 'exemple.com' (sans le 'blog'). Cela signifie que lorsqu'un serveur DNS consulte
les enregistrements DNS pour blog.example.com, il déclenche en fait une autre consultation
DNS vers exemple.com, renvoyant l'adresse IP d'exemple.com via son enregistrement A.
Dans ce cas, nous dirions que exemple.com est le nom canonique (ou vrai nom) de
blog.exemple.com.

Souvent, lorsque des sites ont des sous-domaines tels que blog.exemple.com ou
shop.exemple.com, ces sous-domaines auront des enregistrements CNAME qui pointent vers
un domaine racine (exemple.com). De cette façon, si l'adresse IP de l'hôte change, seul
l'enregistrement DNS A pour le domaine racine doit être mis à jour et tous les enregistrements
CNAME suivront avec toutes les modifications apportées à la racine.

On pense souvent à tort qu'un enregistrement CNAME doit toujours être résolu sur le même
site Web que le domaine vers lequel il pointe, mais ce n'est en effet pas le cas.
L'enregistrement CNAME pointe uniquement le client vers la même adresse IP que le
domaine racine. Une fois que le client a atteint cette adresse IP, le serveur web traitera
toujours l'URL en conséquence. Ainsi, par exemple, blog.exemple.com peut avoir un
CNAME qui pointe vers exemple.com, dirigeant le client vers l'adresse IP de exemple.com.
Mais lorsque le client se connecte réellement à cette adresse IP, le serveur web examine
l'URL, voit qu'il s'agit de blog.exemple.com et fournit la page de blog plutôt que la page
d'accueil.

Exemple d'enregistrement CNAME :

blog.exemple.com type d'enregistrement : valeur : TTL

 25

@ CNAME est un alias de exemple.com 32600

Dans cet exemple, vous pouvez voir que blog.exemple.com pointe vers exemple.com, et en
supposant qu'il est basé sur l'enregistrement A de notre exemple, nous savons qu'il sera
finalement résolu à l'adresse IP 192.0.2.1.

Un enregistrement CNAME peut-il pointer vers un autre enregistrement CNAME ?

Faire pointer un enregistrement CNAME vers un autre enregistrement CNAME est inefficace,
car cela nécessite plusieurs consultations du DNS avant que le domaine ne puisse être chargé,
ce qui ralentit l'expérience utilisateur, mais c'est possible. Par exemple, blog.example.com
pourrait avoir un enregistrement CNAME qui pointe vers l'enregistrement CNAME de
www.exemple.com, qui pointe ensuite vers l'enregistrement A de exemple.com.

CNAME pour blog.exemple.com :

blog.exemple.com type d'enregistrement : valeur : TTL

@ CNAME est un alias de www.exemple.com 32600

Qui pointe vers un CNAME pour www.exemple.com :

www.exemple.com type d'enregistrement : valeur : TTL

@ CNAME est un alias de exemple.com 32600

Cette configuration ajoute une étape supplémentaire au processus de recherche DNS et doit
être évitée si possible. Au lieu de cela, les enregistrements CNAME pour blog.example.com
et www.example.com doivent pointer directement vers exemple.com.
 25

Quelles restrictions s'appliquent à l'utilisation des enregistrements CNAME ?

Les enregistrements MX et NS ne peuvent pas pointer vers un enregistrement CNAME ; ils

doivent pointer vers un enregistrement A (pour IPv4) ou un enregistrement AAAA (pour
IPv6). Un enregistrement MX est un enregistrement d'échange de courrier qui dirige le
courrier électronique vers un serveur de courrier. Un enregistrement NS est un enregistrement
de « serveur de nom » et indique quel serveur DNS fait autorité pour ce domaine.

E. Enregistrement de ressource TXT (information supplémentaires)

Un enregistrement TXT permet d'enregistrer des notes pouvant être lues par un humain ou
par un ordinateur. Les enregistrements texte peuvent contenir des notes arbitraires, mais ils
peuvent également être plus actifs. Par exemple, ils peuvent valider la propriété du nom de
domaine.

Voici un exemple de mise en forme d'un enregistrement TXT dans Google Domains :

Nom de l'hôte Type Valeur TTL Données

@ 1 h Ceci est mon

TXT domaine

Important : Le symbole @ indique que l'enregistrement de ressources s'applique à votre

nom de domaine (example.com, par exemple). Pour en savoir plus sur le champ "Nom de
l'hôte", consultez la page 
 25

. Enregistrement de ressource AAAA (adresse IPv4)

L'enregistrement de ressource AAAA est en réalité utilisé pour les adresses IPv6, et non pour les
adresses IPv4. Les adresses IPv6 sont une nouvelle version du protocole Internet qui offre un espace
d'adressage plus large par rapport aux adresses IPv4.

L'enregistrement de ressource AAAA (ou enregistrement AAAA) est utilisé dans les serveurs DNS
pour associer un nom de domaine à une adresse IPv6 spécifique. Cela permet aux utilisateurs
d'accéder à des sites Web ou à d'autres services en utilisant l'adresse IPv6 correspondante
Un exemple d'enregistrement de ressource AAAA ressemble à ceci :
 25

Pour modifier un nouvel enregistrement AAAA, cliquez sur « + Ajouter » en haut.

Attribuez un nom au sous-domaine ou laissez-le vide si vous voulez créer
l’enregistrement AAAA pour le nom de domaine même. Saisissez l’adresse IP et
cliquez sur « Ajouter un enregistrement AAAA ».
 25

1. Les modifications sont activées. N’oubliez pas que cela peut prendre de 1 à 4 heures.
Vous pouvez vérifier les enregistrements actifs via : http://who.is/dns/

1. Les modifications sont activées. N’oubliez pas que cela peut prendre de 1 à 4 heures.
Vous pouvez vérifier les enregistrements actifs via : http://who.is/dns/

Les modifications de vos enregistrement AAAA ne prendront effet qu’après 1 à 4

heures
Le temps de distribution est généralement de 1 heure, mais peut aller jusqu’à 4

V. Sécurité dans le DNS

A. DNSSEC (Domain Name System Security Extensions)

La sécurité dans le DNS (Domain Name System) est un aspect crucial de l'infrastructure
Internet. Le DNS est responsable de la traduction des noms de domaine en adresses IP,
 25

permettant ainsi aux utilisateurs de naviguer sur le Web et d'accéder aux ressources en ligne.

Le DNSSEC (Domain Name System Security Extensions) est un ensemble de protocoles et

d'extensions de sécurité conçus pour renforcer la sécurité du DNS. Il a été développé pour
remédier aux vulnérabilités inhérentes au DNS, telles que la falsification des réponses DNS
(DNS spoofing) et le détournement de trafic.

Le fonctionnement du DNSSEC repose sur la création d'une chaîne de confiance basée sur la
cryptographie à clé publique. Il utilise des signatures numériques pour vérifier l'authenticité et
l'intégrité des informations DNS. Voici quelques points clés concernant le fonctionnement de
DNSSEC :

Signatures de zone : Les administrateurs de domaine signent numériquement les

enregistrements DNS de leurs zones. Ces signatures permettent de vérifier l'authenticité des
réponses DNS.
Enregistrements de clés publiques (DNSKEY) : Les clés publiques utilisées pour vérifier
les signatures DNSSEC sont stockées dans des enregistrements DNSKEY. Ces
enregistrements sont également signés numériquement.

Chaîne de confiance : DNSSEC établit une chaîne de confiance en reliant les clés publiques
des zones parentes et des zones enfant. Cela permet de vérifier l'authenticité des informations
DNS tout au long de la hiérarchie des domaines.

Validation de la signature : Les résolveurs DNS des utilisateurs vérifient les signatures
DNSSEC à l'aide des clés publiques pour s'assurer de l'intégrité des réponses DNS. Si une
signature est invalide, la réponse est rejetée.

L'adoption de DNSSEC renforce la sécurité du DNS en garantissant l'authenticité et l'intégrité

des informations DNS. Cela réduit les risques d'attaques de type cache poisoning et de
 25

détournement de trafic.

Cependant, il est important de noter que DNSSEC ne résout pas tous les problèmes de
sécurité liés au DNS. Il n'adresse pas les problèmes de confidentialité, tels que la divulgation
de l'historique de navigation. De plus, sa mise en œuvre peut nécessiter des ressources
supplémentaires et peut entraîner une légère augmentation de la taille des réponses DNS.

En résumé, DNSSEC est une technologie essentielle pour renforcer la sécurité du DNS en
permettant la vérification de l'authenticité et de l'intégrité des informations DNS grâce à des
mécanismes de cryptographie à clé publique.

B. Risques de sécurité liés au DNS

Il existe plusieurs risques de sécurité associés au DNS (Domain Name System). Les plus
courants

Cache Poisoning : Il s'agit d'une attaque où un attaquant falsifie les réponses DNS dans le

cache d'un serveur DNS. L'objectif est de rediriger les utilisateurs vers des sites Web
malveillants ou de détourner leur trafic. Cela peut permettre à un attaquant de mener des
 25

attaques de phishing ou d'intercepter des communications sensibles.

DNS spoofing : Également connu sous le nom de DNS forgery, cette attaque consiste à
falsifier les réponses DNS afin de rediriger les utilisateurs vers des serveurs malveillants.
L'attaquant peut alors capturer des informations confidentielles telles que les identifiants de
connexion

Amplification DN s : Cette attaque utilise des serveurs DNS mal configurés pour inonder
une cible avec un trafic DNS excessif. L'attaquant manipule les requêtes DNS pour générer
des réponses volumineuses, amplifiant ainsi le trafic vers la cible. Cela peut entraîner une
surcharge du réseau de la cible et une indisponibilité des services.
 25

DDoS basé sur le DNS : Les attaques DDoS (Distributed Denial of Service) peuvent
également cibler les serveurs DNS pour rendre les services inaccessibles. Les attaquants
inondent le serveur DNS avec un grand volume de requêtes, le submergeant et empêchant
ainsi le bon fonctionnement du système.

Cache poisoning du serveur DNS : Cette attaque consiste à corrompre la table de cache d'un
serveur DNS autoritaire, entraînant la diffusion de réponses DNS incorrectes à tous les
résolveurs qui consultent ce serveur. Cela peut avoir un impact significatif sur l'ensemble du
système DNS.

Enregistrements DNS malveillants : Les enregistrements DNS malveillants sont utilisés

pour rediriger le trafic vers des serveurs contrôlés par des attaquants. Cela peut permettre le
vol de données, les attaques de phishing ou la propagation de logiciels malveillants.

Domain hijacking : Cette attaque vise à prendre le contrôle d'un nom de domaine légitime en
exploitant les vulnérabilités dans le processus de gestion du domaine. Les attaquants peuvent
modifier les enregistrements DNS, redirigeant ainsi le trafic vers des serveurs contrôlés par
eux.

Ces risques de sécurité soulignent l'importance de mettre en œuvre des mesures de sécurité
appropriées pour protéger le DNS. Cela peut inclure l'utilisation de protocoles de sécurité tels
que DNSSEC, la configuration correcte des serveurs DNS, la surveillance du trafic DNS, la
mise à jour régulière des logiciels DNS et la sensibilisation des utilisateurs aux risques de
phishing et de redirection de trafic.
 25

c. Protection contre les attaques DNS (ex. cache poisoning)

Pour vous protéger contre les attaques DNS, en particulier le cache poisoning, voici quelques
mesures que vous pouvez prendre :

Mettez en œuvre DNSSEC : La mise en place de DNSSEC permet de garantir l'authenticité

et l'intégrité des réponses DNS en utilisant des signatures numériques. Cela réduit
considérablement le risque de cache poisoning en permettant aux résolveurs DNS de vérifier
la validité des réponses DNS.

Mettez à jour régulièrement votre logiciel DNS : Les fournisseurs de logiciels DNS
publient régulièrement des mises à jour de sécurité pour corriger les vulnérabilités connues.
Assurez-vous d'appliquer ces mises à jour dès qu'elles sont disponibles afin de bénéficier des
dernières protections contre les attaques DNS.

Configurez correctement vos serveurs DNS : Assurez-vous que vos serveurs DNS sont
correctement configurés en appliquant les bonnes pratiques de sécurité. Cela peut inclure la
limitation des privilèges, la configuration des pare-feu pour restreindre l'accès aux serveurs
DNS, et la mise en place de mécanismes de surveillance pour détecter les activités suspectes.

Utilisez des serveurs DNS réputés : Utilisez des serveurs DNS fiables et réputés pour
résoudre vos requêtes DNS. Les fournisseurs de services DNS bien établis mettent
généralement en place des mesures de sécurité pour protéger leurs serveurs contre les
attaques.
 25

Surveillez le trafic DNS : Mettez en place une surveillance du trafic DNS pour détecter les
activités anormales ou les tentatives d'attaque. Cela peut inclure l'analyse des journaux de vos
serveurs DNS, l'utilisation de systèmes de détection d'intrusion (IDS) ou de systèmes de
prévention d'intrusion (IPS) pour surveiller le trafic DNS.

Éduquez les utilisateurs sur les risques de phishing : Sensibilisez vos utilisateurs aux
risques de phishing et aux techniques de social engineering utilisées dans les attaques DNS.
Encouragez-les à être prudents lors de l'ouverture de liens ou de la saisie d'informations
sensibles sur des sites Web.

Utilisez des VPN ou des tunnels chiffrés : Lorsque vous accédez à des services en ligne,
utilisez des VPN (Virtual Private Network) ou des tunnels chiffrés pour sécuriser votre trafic
DNS. Cela rend plus difficile pour les attaquants d'intercepter ou de manipuler vos requêtes
DNS.

En suivant ces bonnes pratiques, vous pouvez renforcer la sécurité de votre infrastructure
DNS et réduire les risques d'attaques, y compris le cache poisoning.
 25

VI. Évolution du DNS

A. Extensions et améliorations récentes du DNS

Le DNS (Domain Name System) a connu plusieurs extensions et améliorations récentes pour

renforcer sa sécurité, sa résilience et ses fonctionnalités. Voici quelques-unes des évolutions

importantes du DNS :

1. DNSSEC (Domain Name System Security Extensions) : DNSSEC a été développé pour

ajouter des mécanismes de sécurité au DNS. Il permet d'assurer l'authenticité et l'intégrité des

réponses DNS en utilisant des signatures numériques. DNSSEC aide à prévenir les attaques

de cache poisoning et de falsification de réponses DNS.

2. DNS over TLS (DoT) : DNS over TLS est un mécanisme de sécurisation du trafic DNS en

l'acheminant via une connexion TLS (Transport Layer Security). Cela ajoute une couche de

chiffrement et d'authentification pour protéger les requêtes DNS contre l'interception et la

manipulation.
3. DNS over HTTPS (DoH) : DNS over HTTPS permet d'encapsuler les requêtes DNS dans

des connexions HTTPS. Cela renforce la confidentialité des requêtes DNS en les chiffrant et

en les intégrant dans le trafic HTTPS standard. DoH facilite également la contournement des

restrictions de censure DNS.

4. DNS-based Authentication of Named Entities (DANE) : DANE est une extension qui

permet de lier les certificats SSL/TLS aux enregistrements DNS, renforçant ainsi la confiance

dans la vérification des certificats. DANE aide à prévenir les attaques de type man-in-the-

middle lors de l'établissement de connexions sécurisées.

 25

5. DNS over QUIC (DoQ) : QUIC (Quick UDP Internet Connections) est un protocole de

transport rapide et sécurisé. DNS over QUIC (DoQ) utilise QUIC comme mécanisme de

transport pour les requêtes DNS, améliorant ainsi les performances et la sécurité des

communications DNS.
6. QNAME Minimization : Cette amélioration réduit la quantité d'informations divulguées lors

de la résolution DNS. Au lieu de transmettre l'intégralité de la chaîne de requêtes, QNAME

Minimization ne transmet que le strict minimum nécessaire, ce qui améliore la confidentialité

des utilisateurs.

7. Multi-Provider DNSSEC (DNSSEC-validated Cache-Only DNS Servers) : Cette

extension permet à un serveur DNS de valider les signatures DNSSEC en se basant sur

plusieurs fournisseurs de confiance plutôt que sur une seule autorité de certification. Cela

améliore la résilience et la disponibilité de la validation DNSSEC.

Ces extensions et améliorations du DNS visent à renforcer la sécurité, la confidentialité, la

résilience et les performances du système. Elles sont développées et mises en œuvre pour

faire face aux défis actuels et aux nouvelles menaces qui émergent dans l'environnement

Internet.

B .IPv6 et son impact sur le DNS

L'introduction d'IPv6 (Internet Protocol version 6) a un impact significatif sur le DNS

(Domain Name System) en raison de l'adoption de nouvelles adresses IP plus longues et de la
nécessité d'une prise en charge adéquate des enregistrements DNS
pour IPv6. Voici quelques-uns des principaux impacts d'IPv6 sur le DNS :
 25

Enregistrements AAAA : Avec IPv6, les adresses IP sont représentées sous forme de suites
de chiffres hexadécimaux séparés par des deux-points (:). Les enregistrements DNS AAAA
(Address IPv6) sont utilisés pour associer des noms de domaine à des adresses IPv6. Cela
permet de résoudre les noms de domaine en adresses IPv6 correspondantes.

Recommandations sur la taille de la réponse DNS : Les adresses IPv6 étant plus longues
que
les adresses IPv4, les réponses DNS contenant des enregistrements AAAA peuvent être plus
volumineuses. Cela peut poser des problèmes de fragmentation du paquet DNS, en particulier
dans des environnements avec des contraintes de taille de paquet. Les serveurs DNS doivent
être configurés pour gérer de manière appropriée les réponses DNS volumineuses.

Configuration des serveurs DNS : Les serveurs DNS doivent être configurés pour prendre
en
charge à la fois les requêtes IPv4 et IPv6. Ils doivent être en mesure de résoudre à la fois les
enregistrements A (pour IPv4) et les enregistrements AAAA (pour IPv6). Les administrateurs
système doivent s'assurer que leurs serveurs DNS sont configurés correctement pour répondre
aux requêtes DNS sur IPv6.

Reverse DNS (PTR) pour IPv6 : De même que pour IPv4, le reverse DNS (enregistrements
PTR) est important pour associer une adresse IPv6 à un nom de domaine. Les administrateurs
réseau doivent configurer correctement les enregistrements PTR pour les adresses IPv6 afin
de garantir une résolution inverse adéquate.

Transition vers IPv6 : Lors de la transition d'un environnement IPv4 vers IPv6, il peut être
nécessaire de mettre à jour les enregistrements DNS existants pour refléter les nouvelles
adresses IPv6 des services et des serveurs. Cela peut nécessiter des modifications dans la zone
DNS pour ajouter des enregistrements AAAA et mettre à jour les enregistrements A
correspondants.
 25

Il est essentiel de prendre en compte ces aspects lors de l'adoption d'IPv6 afin d'assurer une
résolution DNS correcte pour les adresses IPv6 et de garantir une connectivité sans problème
dans un environnement IPv6. Les administrateurs système et les opérateurs réseau doivent
être conscients de ces changements et s'assurer de la mise à jour et de la configuration
adéquate de leurs serveurs DNS pour prendre en charge IPv6

Chapitre 2: les attaques DNS.……………………………………

I. Introduction.……………………………………

I.1 Présentation de LES ATTAQUES DNS.……………………………………

les attaques DNS (Domain Name System) sont des techniques utilisées par des individus
malveillants pour exploiter les vulnérabilités du système DNS. Ces attaques peuvent
compromettre la sécurité, l'intégrité et la disponibilité des services basés sur le DNS.
 25

I.2 Types d'attaques DNS.……………………………………

Il existe plusieurs types d'attaques DNS qui exploitent différentes vulnérabilités du système
DNS. Voici quelques-uns des types d'attaques DNS les plus courants :

Cache Poisoning : L'attaque de cache poisoning vise à corrompre le cache d'un serveur DNS
en y injectant de fausses informations. L'attaquant envoie des réponses DNS falsifiées au
serveur DNS, lui faisant croire qu'elles proviennent d'une source légitime. Cela peut entraîner
la redirection du trafic vers des sites malveillants ou l'interception des communications.

DNS Spoofing : Le DNS spoofing, également connu sous le nom de DNS forgery, consiste à
falsifier les réponses DNS pour tromper les utilisateurs ou les serveurs DNS. L'attaquant
envoie de fausses réponses DNS aux résolveurs DNS ou aux utilisateurs, les incitant à accéder
à des sites Web malveillants ou à divulguer des informations sensibles.

Distributed Denial of Service (DDoS) basé sur le DNS : Les attaques DDoS ciblant les
serveurs DNS cherchent à submerger les serveurs de requêtes DNS légitimes, les rendant
indisponibles. Les attaquants utilisent souvent des botnets pour générer un trafic DNS massif
et saturer les ressources du serveur DNS.

DNS Amplification : L'attaque d'amplification DNS exploite les protocoles DNS pour
générer un trafic volumineux vers une cible. Les attaquants envoient des requêtes DNS à des
serveurs ouverts et mal configurés, en utilisant l'adresse IP de la cible comme adresse source.
Les serveurs DNS renvoient ensuite des réponses amplifiées, augmentant ainsi le volume du
trafic dirigé vers la cible.

NXDOMAIN Flood : Cette attaque vise à inonder un serveur DNS de requêtes pour des
noms de domaine inexistants (NXDOMAIN). L'objectif est de saturer le serveur et de
l'empêcher de répondre aux requêtes légitimes.

Domain Hijacking : L'attaque de détournement de domaine consiste à prendre le contrôle

d'un nom de domaine légitime en modifiant les enregistrements DNS associés. Les attaquants
usurpent l'identité du propriétaire du domaine légitime et modifient les enregistrements DNS
pour rediriger le trafic vers des serveurs contrôlés par eux.
 25

Fast Flux DNS : Le fast flux DNS est une technique utilisée dans les botnets pour masquer
l'emplacement des serveurs de commande et de contrôle. Les adresses IP associées aux noms
de domaine sont constamment modifiées, rendant la détection et le blocage plus difficiles
pour les systèmes de sécurité.

Ces attaques DNS soulignent l'importance de mettre en place des mesures de sécurité
robustes, telles que la mise en œuvre de DNSSEC, la configuration correcte des serveurs
DNS, la surveillance du trafic DNS et la sensibilisation des utilisateurs aux risques.

I.3 Conséquences potentielles. .……………………………………

Les attaques DNS peuvent avoir de graves conséquences sur la sécurité, la confidentialité et la
disponibilité des services en ligne. Voici quelques conséquences potentielles des attaques
DNS :

Redirection du trafic : Les attaques DNS peuvent rediriger le trafic légitime vers des sites
Web malveillants contrôlés par les attaquants. Cela peut entraîner la diffusion de logiciels
malveillants, le vol d'informations sensibles, ou la manipulation des communications pour des
motifs frauduleux.

Interception de communications : Les attaques de DNS spoofing ou de cache poisoning

peuvent permettre aux attaquants d'intercepter les communications entre les utilisateurs et les
services en ligne. Cela peut compromettre la confidentialité des données échangées,
notamment les informations d'identification, les données financières ou les communications
sensibles.

Phishing : Les attaques DNS peuvent être utilisées pour faciliter des campagnes de phishing.
Les utilisateurs peuvent être redirigés vers de faux sites Web conçus pour voler leurs
informations d'identification ou leurs informations personnelles. Cela peut entraîner des vols
d'identité, des fraudes financières et d'autres formes d'exploitation.
 25

Indisponibilité des services : Les attaques DDoS basées sur le DNS peuvent submerger les
serveurs DNS et les rendre indisponibles. Cela peut entraîner une interruption du service pour
les utilisateurs légitimes, rendant les sites Web et les applications inaccessibles.

Perte de confiance : Les attaques DNS réussies peuvent ébranler la confiance des utilisateurs
dans les services en ligne. Les utilisateurs peuvent craindre que leurs données ne soient pas en
sécurité, ce qui peut avoir un impact sur la réputation des entreprises et leur relation avec les
clients.

Perturbation des opérations commerciales : Les attaques DNS peuvent perturber les
opérations commerciales en rendant les services en ligne inaccessibles ou en compromettant
la confidentialité des données. Cela peut entraîner des pertes financières, des temps d'arrêt
coûteux et une réduction de la productivité des employés.

Altération de l'image de marque : Les attaques DNS réussies peuvent nuire à l'image de
marque d'une entreprise ou d'une organisation. Les utilisateurs peuvent associer l'entreprise à
des problèmes de sécurité et être réticents à utiliser ses services à l'avenir.

Il est donc essentiel de mettre en place des mesures de sécurité appropriées pour prévenir les
attaques DNS et minimiser les conséquences potentielles. Cela comprend la mise en œuvre de
mécanismes de sécurité tels que DNSSEC, la configuration adéquate des serveurs DNS, la
surveillance proactive du trafic DNS et la sensibilisation des utilisateurs aux risques associés
aux attaques DNS.
 25

I.4 Mesures de protection.……………………………………

Pour protéger efficacement le DNS contre les attaques, plusieurs mesures de sécurité peuvent
être mises en place. Voici quelques-unes des principales mesures de protection pour prévenir
les attaques DNS :

Mise en œuvre de DNSSEC : DNSSEC (Domain Name System Security Extensions) est une
extension du DNS qui permet de garantir l'intégrité et l'authenticité des données DNS.
DNSSEC utilise des signatures numériques pour vérifier l'origine et l'intégrité des réponses
DNS, réduisant ainsi le risque de cache poisoning et de falsification de données.

Configuration appropriée des serveurs DNS : Les serveurs DNS doivent être configurés de
manière sécurisée en appliquant les meilleures pratiques. Cela inclut la mise à jour régulière
du logiciel DNS pour corriger les vulnérabilités connues, la désactivation des fonctionnalités
non nécessaires, la restriction de l'accès aux serveurs DNS à partir d'adresses IP autorisées, et
la configuration de pare-feux pour filtrer le trafic DNS suspect.

Utilisation de pare-feux DNS : Les pare-feux DNS peuvent être utilisés pour détecter et
bloquer les attaques DNS en surveillant le trafic DNS entrant et sortant. Ils peuvent identifier
les anomalies, les schémas de requêtes suspects ou les adresses IP malveillantes, et prendre
des mesures pour bloquer ou limiter le trafic suspect.

Surveillance du trafic DNS : La surveillance du trafic DNS peut aider à détecter les activités
suspectes et les attaques en cours. Les outils de surveillance peuvent analyser les requêtes
DNS, les réponses et les schémas de trafic pour repérer les comportements anormaux, les
requêtes excessives ou les tentatives de cache poisoning.

Filtrage DNS : Le filtrage DNS permet de bloquer l'accès à des noms de domaine
malveillants connus ou à des adresses IP suspectes. Cela peut être réalisé en utilisant des listes
de blocage DNS (DNS blocklists) ou des services de filtrage DNS tiers pour empêcher l'accès
aux sites Web malveillants connus ou aux sources de trafic suspect.
 25

Éducation et sensibilisation des utilisateurs : La sensibilisation des utilisateurs aux risques

liés aux attaques DNS est essentielle. Les utilisateurs doivent être informés des pratiques de
sécurité de base, comme l'importance de ne pas cliquer sur des liens suspects ou de ne pas
divulguer d'informations sensibles en réponse à des demandes de renseignements par e-mail
ou par téléphone.

Mises à jour régulières des logiciels et correctifs : Il est crucial de maintenir à jour les
logiciels DNS, les systèmes d'exploitation et les applications connexes pour bénéficier des
derniers correctifs de sécurité. Les mises à jour régulières contribuent à atténuer les
vulnérabilités connues et à renforcer la sécurité du système DNS.

Il est recommandé de mettre en œuvre ces mesures de protection de manière proactive et de

les maintenir à jour pour prévenir efficacement les attaques DNS et assurer la sécurité du
système DNS.
 25

Partie 2: partie
pratique
 25

Test d'une attaque et implémentation d'une solution de sécurité .………

II. Chapitre 1: Attaque SPOOFING.……………………………………

25