Nouvelles Chroniques d'Amethyste

Penser au Sens, pas au Verbe

L’origine du système de noms de domaine

Poster un commentaire

C’est la traduction d’un article que vous pouvez lire en VO ici:

https://blog.cdemi.io/origins-of-the-domain-name-system/

Je remercie l’auteur, Christopher Demicoli, de m’avoir autorisé à réaliser cette traduction. J’espère ne pas avoir fait trop d’erreurs!

En 1982 il n’y avait que 455 hôtes sur ARPANET et bien qu’en nombre limité, leur adressage était déjà une tâche difficile.

 

ARPANET (Advanced Research Project Agency Network) fut le premier réseau à implémenter la suite de protocole TCP/IP. ARPANET est l’ancêtre d’Internet.

2016-08-08_20-36-44

A l’origine un Network Information Center (NIC) centralisé était responsable de la mise à jour et la maintenance d’un listing avec tous les hôtes du réseau. Le fichier s’appelait hosts.txt, c’est l’ancêtre du /etc/hosts (UNIX) ou %SystemRoot%\System32\drivers\etc\hosts  (Windows). A chaque fois que le réseau changeait, le NIC envoyait en FTP la nouvelle version à chaque hôte. Il va sans dire que la scalabilité n’était pas très bonne.

 

Avant Internet, la méthode habituelle de communication entre ordinateurs se faisait par une communication point à point directe. Par exemple, si vous souhaitiez m’envoyer un fichier, il fallait que votre modem appelle le mien et transfère le fichier.

Ainsi chaque ordinateur disposait d’un fichier dans le répertoire hosts avec le numéro de téléphone et les credentials de chaque hôte. Vous construisez un chemin depuis votre machine vers celle de destination. De cette façon les hôtes savent comment se connecter à l’autre.

2016-08-08_20-54-07

Traducteur: plus d’explication sur les chemins UUCP:

https://fr.wikipedia.org/wiki/Unix_to_Unix_Copy_Protocol

Et DNS arrive…

En novembre 1983 les RFC IETF 882 et 883 ont défini le système DNS que nous connaissons tous. Regardons d’ailleurs à quoi ressemble une réponse DNS aujourd’hui. Par exemple today. dig blog.cdemi.io qui renvoie:

2016-08-08_21-01-58

Le champ appelé IN dans la réponse, date des temps héroïques où il n’y avait que quelques réseaux. Les valeurs possibles sont IN (Internet), CH (Chaos) ou HS (Hésiode). Elles sont définies par la RFC 6895.

Domaine de premier niveau (racine ou TLD)

DNS est organisé selon une structure hiérarchique. La première question qui se pose est de savoir qui se trouve à la racine de la hiérarchie. Cette racine est désignée par un simple point (.). En réalité, chaque domaine se termine avec un point final. Même si on ne le saisit pas, il est supposé.

2016-08-08_21-14-39

Il existe un ensemble de serveurs DNS qui ont pour tâche de transformer .io en le nom de serveur responsable qui va ensuite répondre à la question: comment aller vers cdemi.io.

Internet héberge 13 serveurs DNS en cluster. Il y a donc 13 noms de serveurs racines (nommé a à m). Il s’agit là de noms logiques, le nombre de serveurs physiques est plus important. La redondance permet d’assurer une stabilité importante du système.

2016-08-08_21-31-14

Ces serveurs racines sont évidemment importants, ils opèrent dans des environnements très sécurisés et non physiquement accessibles. Ces serveurs sont surveillés en permanences par des caméras qui filment une horloge afin de garantir que le flux vidéo n’a pas été piraté et mis en boucle.

Une attaque sur l’un de ces serveurs pourrait permettre à l’attaquant de prendre le contrôle de toute une partie du trafic Internet.

Il est évident que ces serveurs racines ne changent pas très souvent. Les clients gardent en cache leur contenu. Une étude de 2003 a montrée que seulement 2% des requêtes vers les serveurs racines sont légitimes.

 

Les TLD sont administrés par différentes sociétés et gouvernements un peu partout dans le monde. Par exemple Verisign gère .com. Par exemple lorsque l’on achète un domaine .com, $0.18 revient à l’ICANN et $7.85 à Verisign.

Le domaine .mt est maintenu par le NIC de Malte qui est une comité constitué autour de l’université de Malte.

Traducteur: l’auteur d’origine de cet article est maltais.

Attaque du DNS

Les serveurs racines sont des éléments critiques dans l’architecture Internet qui font correspondre les noms de domaines aux adresses IP. Une attaque contre les serveurs racines pourrait en théorie impacter le système DNS au complet et donc chaque service qui utilise le système global DNS plutôt qu’un simple site spécifique.

En pratique cette infrastructure est très résiliante et distribuée. Il n’en reste pas moins que les attaques DDoS sont prises au sérieux par les opérateurs des serveurs racines qui améliorent en permanence les capacités et la résistance à des attaques sur les serveurs.

 

Un autre vecteur d’attaque sur les serveurs DNS vient du fait que les réponses ne sont traditionnellement pas signées par cryptographie. Si vous pouviez réussir une attaque HDM, vous pourriez alors facilement modifier la réponse vers une adresse IP différente. Domain Name System Security Extension (DNSSEC) a fait évoluer le protocole DNS pour ajouter le support à la signature cryptographiée de la réponse. Par exemple la chaîne d’authentification DNSSEC pour blog.cdemi.io:

2016-08-08_21-01-58

Pour activer la vérification DNSSEC sur un serveur DNS Windows on peut lire cet article:

https://blog.cdemi.io/enabling-windows-dns-server-to-validate-dnssec/

 

Bibliographie

http://www.jeanlalonde.ca/internetengestion/05/histoire.htm

 

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s