Différences

Ci-dessous, les différences entre deux révisions de la page.

--- doc:dns [2014/07/17 17:32] – déplacement de dnssec vers une autre page olivier.caillault
+++ doc:dns [2020/07/19 07:54] (Version actuelle) – typo fix chiahetcho
@@ Ligne 1: / Ligne 1: @@
+====== DNS ======
 Le DNS (//Domain Name System//) est le nom du protocole et de la base de données permettant la traduction entre nom de domaine et adresse IP.
@@ Ligne 18: / Ligne 20: @@
 ===== Comment ça marche ? =====
+==== Protocole ====
+On a tendance à penser que le DNS envoie les données uniquement en [[UDP]] sur le port 53 mais en réalité le [[TCP]] peut également être utilisé. En effet, originellement, les requêtes DNS étaient limitées à 512 octets en UDP (plus rapide que le TCP, allégeant la charge des serveurs et offrant des réponses plus rapides), le TCP était utilisé pour les requêtes plus longues. la [[http://tools.ietf.org/html/rfc5966|RFC 5966 (en)]] détaille l'utilisation de TCP pour les résolutions DNS.
+[[http://tools.ietf.org/html/rfc6891|EDNS(0)]] a été mis en place pour étendre les tailles maximales de paramètres pour les DNS, ainsi se séparant de la limite des 512 octets initialement mise en place.
 ==== Fichier de zone ====
-Le fichier de zone décrit une zone du DNS. Ce fichier a une syntaxe définie par la [[http://tools.ietf.org/html/rfc1035|RFC 1035]] (section 5) et la [[http://tools.ietf.org/html/rfc1034|RFC 1034]] (section 3.6.1) et ne dépend pas du serveur utilisé.
+Sur le serveur, un fichier de zone décrit une zone du domaine. Ce fichier a une syntaxe définie par la [[http://tools.ietf.org/html/rfc1035|RFC 1035]] (section 5) et la [[http://tools.ietf.org/html/rfc1034|RFC 1034]] (section 3.6.1) et ne dépend pas du serveur utilisé.
 Voici un exemple de fichier de zone :
@@ Ligne 52: / Ligne 60: @@
 la définition du TTL n’est pas obligatoire. ''IN'' signifie Internet. Le DNS était prévu pour d’autres types de réseau, mais en pratique, seul IN est utilisé.
-=== Enregistrements traditionnels ===
+=== Enregistrements classiques ===
   * A : renseigne une adresse IPv4.
@@ Ligne 64: / Ligne 72: @@
 === Sécurité ===
-Le système des DNS n'a pas pris en compte la sécurité lors de sa création. Une étude de ses failles a été faite dans les années 2000 (rapportée dans la [[https://tools.ietf.org/html/rfc3833|RFC3833 (en)]]). [[DNSSEC]] a été créé pour palier à la plupart de ces failles.
+Le système des DNS n'a pas pris en compte la sécurité lors de sa création. Une étude de ses failles a été faite dans les années 2000 (rapportée dans la [[https://tools.ietf.org/html/rfc3833|RFC3833 (en)]]). [[DNSSEC]] a été créé pour palier la plupart de ces failles.
 === Note sur le serial ===
-Le serial est un numéro qui identifie la version de votre fichier de zone. Il est important de **toujours** l’augmenter à chaque modification. En effet, c’est sur ce nombre que se base les serveurs caches et //slave// pour savoir si leur cache est toujours à jour. Si vous avez un serial inférieur à celui enregistré dans l’autre serveur, celui-ci ne mettra pas à jour votre zone. Il n’est en revanche pas nécessaire que le serial soit incrémenté de 1 à chaque fois. Par exemple, vous pouvez vous baser sur la date du jour et ajouter un nombre qui identifie la modification du jour : 2014030563 serait la 63<sup>e</sup> modification du 5 mars 2014((Attention, dans ce cas, n’utilisez pas 201403061, mais 2014030601 !)).
+Le serial est un numéro qui identifie la version de votre fichier de zone. Il est important de **toujours** l’augmenter à chaque modification. En effet, c’est sur ce nombre que se base les serveurs caches et esclave pour savoir si leur cache est toujours à jour. Si vous avez un serial inférieur ou égal à celui enregistré dans l’autre serveur, celui-ci ne mettra pas à jour votre zone. Il n’est en revanche pas nécessaire que le serial soit incrémenté de 1 à chaque fois. Par exemple, vous pouvez vous baser sur la date du jour et ajouter un nombre qui identifie la modification du jour : 2014030563 serait la 63<sup>e</sup> modification du 5 mars 2014((Attention, dans ce cas, n’utilisez pas 201403061, mais 2014030601 !)).
 ==== Résolution ====
 === Utiliser dig ===
@@ Ligne 135: / Ligne 144: @@
 </code>
-On peut aussi lui demander de vérifier les zones en utilisant [[#DNSSEC|DNSSEC]]. Si la zone est validée, le flag ''ad'' est ajouté à la réponse : <code>
+On peut aussi lui demander de vérifier les zones en utilisant [[DNSSEC]]. Si la zone est validée, le flag ''ad'' est ajouté à la réponse : <code>
 $ dig +dnssec isc.org
 ; <<>> DiG 9.9.2-P2 <<>> +dnssec isc.org
@@ Ligne 180: / Ligne 189: @@
 <code>
 $ dig PTR 65.155.228.160.in-addr.arpa
+…
+;; ANSWER SECTION:
+.155.228.160.in-addr.arpa. 86400 IN	PTR	quigon.rez-gif.supelec.fr.
+…
+</code>
+''dig'' fourni une syntaxe plus simple :
+<code>
+$ dig -x 65.155.228.160
 …
 ;; ANSWER SECTION:
@@ Ligne 256: / Ligne 274: @@
 ===== Liens externes =====
   * [[https://fr.wikipedia.org/wiki/Liste_des_enregistrements_DNS | Liste des types d’enregistrements DNS sur Wikipédia]]
-  * [[https://www.isc.org/downloads/bind/ | site officiel de Bind]]
+  * [[https://www.isc.org/downloads/bind/ | Site officiel de Bind]]
   * [[https://wiki.auto-hebergement.fr/services/nom_de_domaine|Documentation DNS & Bind sur auto-hebergement.fr]]