diff --git a/content/admin_reseau/4_DNS/index.md b/content/admin_reseau/4_DNS/index.md new file mode 100644 index 0000000..cb210d0 --- /dev/null +++ b/content/admin_reseau/4_DNS/index.md @@ -0,0 +1,56 @@ +--- +title: "Administration réseaux : Le DNS" +date: 2022-03-08 +tags: ["Serveur de nom", "enregistrement"] +categories: ["Administration Réseaux", "Cours"] +--- + + +Le DNS réponds à la question *quel est l'adresse IP de tel machine?*. Il utilise +principalment UDP sur le port 53. Il fonctionne en arbre: on contacte les +serveur racines, qui donne les serveurs qui gèrent le premier niveau (le .fr par +exemple). Ceux-ci vont donner le serveur DNS du second niveau (u-bordeaux.fr) et +ainsi de suite. + +## les entités + +La notion importante dans DNS est la **zone**. Elle représente une partie de +l'arbre gérée par une entité. + +## Quels type de requêtes? + + * Quelle est l'adresse IP? `A` et `AAAA` + * Quel est le nom de machine? `PTR` + * Quels sont les serveurs de nom? `NS` + * Quel sont les serveurs de courriels? `MX` + * Quelles sont toutes les informations sur le domaine? `AXFR` + +## Modes de fonctionnement + +### mode iteratif + +Lorsqu'on lui pose une question et qu'il n'a pas de réponse, le serveur renvoie +vers un autre. + +### mode récursif + +Lorsque le serveur n'a pas la réponse, le serveur consulte lui même d'autres +serveurs afin de donner lui-même la réponse au client. + +### autorité + +Un serveur détenant une zone fait autorité sur celle-ci, la réponse contient +alors un champ le mentionnant. Ce fonctionnement permet de différencier les +réponses d'un serveur faisant autorité et d'un serveur puisant dans son cache. + +## Problèmes liés au DNS + +### DNS Cache Poisoning + +Jusqu'en 2008, le port source des requêtes DNS était toujours le même quel que +soit l'implémentation. Une attaque était alors plus simple: il suffisait de +deviner l'identifiant de requête codé sur 16bits. + +Une version plus récente de cette attaque, datant de l'été 2021utilise les +compteurs globaux des trames UDP afin de deviner le port source. Cette attaque +utilise aussi les réponse serveur lors d'un port invalide