Serveur racine du DNS
Un article de Wikipédia, l'encyclopédie libre.
Un serveur DNS racine est un serveur DNS qui répond aux requêtes qui concernent le domaine racine et qui les redirige vers le serveur DNS de premier niveau (top-level-domain - TLD) concerné. Bien que n'importe quel opérateur puisse mettre en place ses propres serveurs DNS racine, le terme de "serveur DNS racine" est généralement utilisé pour désigner les treize serveurs DNS racine qui implémentent la racine du "Domain Name System" (système de noms de domaines) officiel d'Internet.
Sommaire |
[modifier] Le domaine racine
On peut considérer que tous les noms de domaine sur Internet se terminent par un caractère de fin (par exemple : www.exemple.fr.). Ce point final est généralement implicite. En effet, les logiciels DNS actuels n'ont pas besoin qu'il soit systématiquement présent pour convertir un nom de domaine en adresse IP. La chaîne vide après ce point final est appelé le domaine racine. Tous les autres domaines (.com, .org, .fr, etc.) sont des sous-domaines du domaine racine.
[modifier] Les requêtes DNS
Lorsqu'un ordinateur connecté à Internet veut résoudre un nom de domaine, il s'y prend de la droite vers la gauche. Il demande à chaque serveur DNS, chacun à son tour, de résoudre l'élément à sa gauche. Les serveurs DNS racine (qui gèrent le domaine .) connaissent les serveurs qui gèrent les domaines de premier niveau. Chaque domaine de premier niveau (comme .org) possède ses propres serveurs qui, à leur tour, transmettent la demande aux serveurs DNS qui gèrent les noms de domaines particuliers (comme wikipedia.org). Ces serveurs renvoient alors l'adresse IP correspondant au sous-domaine ou à l'hôte (comme fr.wikipedia.org ou www.wikipedia.org).
Dans la pratique, la plupart des informations ne change pas très souvent. Elles sont donc mises en cache et les requêtes DNS nécessaires à destination des serveurs racine restent relativement rares. Une étude de 2003 [1] mentionne que seuls 2% des requêtes à destination de ces serveurs étaient légitimes. Les mises en cache incorrectes ou inexistantes sont à l'origine de 75% des demandes. 12,5% concernent des demandes pour des domaines de premier niveau inconnus, 7% parce qu'elles traitent des adresses IP comme des noms de domaines, etc. Certains ordinateurs de bureau mal configurés tentent même de mettre à jour les enregistrements des serveurs racine, ce qui n'est pas normal. Une liste de problèmes observés et les solutions pour y remédier sont disponibles à RFC 4697.
[modifier] Les serveurs DNS racine
Il y actuellement 13 serveurs DNS racine dont les noms sont de la forme lettre.root-servers.net où lettre est une lettre comprise entre A et M. Sept de ces serveurs ne sont pas de simples serveurs mais correspondent à plusieurs serveurs répartis dans des lieux géographiques divers.
| Lettre | adresse IPv4 | adresse IPv6 | Ancien nom | Société | Localisation | Logiciel |
|---|---|---|---|---|---|---|
| A | 198.41.0.4 | 2001:503:BA3E::2:30 | ns.internic.net | VeriSign | Dulles, Virginie, Etats-Unis | BIND |
| B | 192.228.79.201 | 2001:478:65::53 | ns1.isi.edu | USC-ISI | Marina Del Rey, Californie, Etats-Unis | BIND |
| C | 192.33.4.12 | c.psi.net | Cogent Communications | trafic distribué par anycast | BIND | |
| D | 128.8.10.90 | terp.umd.edu | University of Maryland | College Park, Maryland, Etats-Unis | BIND | |
| E | 192.203.230.10 | ns.nasa.gov | NASA | Mountain View, Californie, Etats-Unis | BIND | |
| F | 192.5.5.241 | 2001:500:2f::f | ns.isc.org | ISC | trafic distribué par anycast | BIND |
| G | 192.112.36.4 | ns.nic.ddn.mil | Defense Information Systems Agency | Columbus, Ohio, Etats-Unis | BIND | |
| H | 128.63.2.53 | 2001:500:1::803f:235 | aos.arl.army.mil | U.S. Army Research Lab | Aberdeen Proving Ground, Maryland, Etats-Unis | NSD |
| I | 192.36.148.17 | nic.nordu.net | Autonomica | trafic distribué par anycast | BIND | |
| J | 192.58.128.30 | 2001:503:C27::2:30 | VeriSign | trafic distribué par anycast | BIND | |
| K | 193.0.14.129 | 2001:7fd::1 | RIPE NCC | trafic distribué par anycast | NSD | |
| L | 199.7.83.42 | ICANN | trafic distribué par anycast | NSD | ||
| M | 202.12.27.33 | 2001:dc3::35 | WIDE Project | trafic distribué par anycast | BIND |
Les plus anciens des serveurs possèdent une autre adresse. Il s'agit de ceux qui existaient avant que la règle de nommage actuelle (lettre.root-servers.net) ne soit mise au point.
[modifier] Les limitations
Il n'est pas possible d'ajouter de nouveaux noms à cause des limites du protocole UDP. En effet les paquets UDP ne peuvent transporter que 512 octets de manière fiable et un fichier qui contiendrait plus de 13 serveurs dépasserait cette limite. Cependant les serveurs C, F, I, J, K, L et M sont maintenant éparpillés sur plusieurs continents. Ils utilisent anycast pour fournir ce service décentralisé. C'est ainsi que la plupart des serveurs DNS physiques sont à présent situés hors des Etats-Unis.
Il existe également des DNS alternatifs avec les propres serveurs racine en contradiction avec les serveurs DNS principaux. Le plus connu, AlterNIC, a fait couler beaucoup d'encre.
Les serveurs DNS racine peuvent également être déclinés localement, sur les réseaux des FAI ou autres. Ils doivent être synchronisés avec le fichier de la zone racine du US Department of Commerce ainsi que le préconise l'ICANN. De tels serveurs ne sont pas des serveurs DNS alternatifs mais une déclinaison locale des serveurs DNS racine A à M.
Etant donné que les serveurs DNS racine jouent un rôle important dans l'organisation d'Internet, ils ont eu à subir des attaques à plusieurs reprises. Cependant aucune d'entre elles n'a causé assez de dommages pour obérer sérieusement les performances d'Internet.
[modifier] Attaques des 21 et 22 octobre 2002
Petit rappel: Si j'appelle le site www.usa.gov, ma requête va être envoyée au root serveur chargé des extensions .gov, qui va ensuite me rediriger vers le DNS local de la CIA. Donc, si je sature le root serveur .gov, plus aucun domaine portant cette extension n'est disponible à travers le monde! En fait, si les treize root DNS tombaient en panne, plus rien (ou presque) ne fonctionnerait sur le net, mis à part les appels par IP.
Les 21 et 22 octobre 2002, la racine complète a été attaquée, c'est à dire les serveurs A à M. L'attaque a connu un relatif succès puisque 7 serveurs sur 13 ont cessé de fonctionner.
L'attaque n'a pas provoqué de grande perturbation du réseau mondial, ce qui démontre encore une fois la puissance de chacuns des serveurs. L'ensemble des requêtes peut être assurée par un seul serveur selon le PDG de Verisign, qui administre deux DNS root.
L'attaque a été réalisée selon la méthode DoS, Denial of Service. Les pirates ont pu grâce à un parc de machines gigantesque générer un nombre de requêtes deux à trois fois supérieur à la capacité de charge des treize serveurs visés, soit quarante fois le volume habituel des serveurs !
A la suite de cette attaque a été mis en place le système Anycast, qui empêche les attaques de type DoS
[modifier] Notes et références
[modifier] Voir aussi
[modifier] Liens externes
- Root Server Technical Operations Association
- DNS Root Server System Advisory Committee
- Bogus Queries received at the Root Servers
- ORSN, Open Root Server Network with IPv6 support in europe
- RFC 2826 - IAB Technical Comment on the Unique DNS Root
