Outils DNS Avancés et Sécurité : Maîtrisez dig, DNSSEC et DNSBL
Le système de noms de domaine (DNS) est souvent appelé l'"annuaire de l'Internet". Bien que son rôle principal soit de traduire des noms lisibles par l'homme comme example.com en adresses IP, le DNS moderne implique des couches de sécurité complexes et des outils de diagnostic. Ce guide couvre les outils essentiels pour les administrateurs réseau et les développeurs : la commande dig, DNSSEC pour la sécurité et DNSBL pour la gestion de la réputation.
Maîtriser la commande dig
La commande dig (Domain Information Groper) est un outil flexible pour interroger les serveurs de noms DNS. C'est le successeur de nslookup et elle est préférée par les administrateurs système pour sa sortie détaillée.
Syntaxe de base
dig @serveur_de_noms domaine type
Exemples courants
- Rechercher un enregistrement A :
dig google.com A - Rechercher des enregistrements MX (Mail) :
dig google.com MX - Utiliser un serveur DNS spécifique (ex: Google DNS) :
dig @8.8.8.8 google.com - Sortie courte (IP uniquement) :
dig google.com +short - Tracer la délégation :
dig google.com +trace(Idéal pour trouver où une requête échoue)
DNSSEC : Sécuriser l'Annuaire
Le DNS standard est vulnérable à l'"empoisonnement de cache" ou à l'"usurpation", où un pirate envoie de fausses données DNS à un résolveur. DNSSEC (Domain Name System Security Extensions) ajoute des signatures cryptographiques aux enregistrements DNS, garantissant que les données sont authentiques et n'ont pas été altérées.
Comment fonctionne DNSSEC
- RRSIG : Chaque ensemble d'enregistrements est signé avec une clé privée.
- DNSKEY : La clé publique utilisée pour vérifier la signature est stockée dans le DNS.
- DS (Delegation Signer) : Un hachage de la clé publique est stocké dans la zone parente (ex:
.comstocke l'enregistrement DS pourexample.com).
Valider DNSSEC
Vous pouvez vérifier si un domaine possède un DNSSEC valide en utilisant :
dig example.com +dnssec
Recherchez l'enregistrement RRSIG dans la section des réponses (answer section).
DNSBL/RBL : Se protéger contre le Spam
DNSBL (DNS-based Blackhole List), également connu sous le nom de RBL (Real-time Blackhole List), est un mécanisme utilisé pour suivre les adresses IP qui sont des sources connues de spam ou de logiciels malveillants.
Les serveurs de messagerie utilisent DNSBL pour décider d'accepter ou non le courrier entrant. Si l'IP de l'expéditeur est sur une liste noire, l'e-mail est rejeté ou marqué comme spam.
Comment vérifier une liste noire
La plupart des DNSBL utilisent un format de requête DNS spécifique :
ip-inversée.domaine-liste-noire
Exemple (Vérification si 1.2.3.4 est sur Spamhaus) :
dig 4.3.2.1.zen.spamhaus.org
- S'il renvoie une IP (généralement
127.0.0.x), elle est listée. - S'il renvoie
NXDOMAIN, elle n'est pas listée.
Tableau de comparaison : Types d'enregistrements DNS
| Type | Nom complet | Objectif | Valeur d'exemple |
|---|---|---|---|
| A | Address | Mappe un domaine vers IPv4 | 93.184.216.34 |
| AAAA | IPv6 Address | Mappe un domaine vers IPv6 | 2606:2800:220:1:248:1893:25c8:1946 |
| CNAME | Canonical Name | Alias pour un autre domaine | web.example.com |
| MX | Mail Exchange | Route pour l'e-mail | 10 mail.example.com |
| TXT | Text | Notes lisibles par l'homme/machine | v=spf1 include:_spf.google.com ~all |
| CAA | Certificate Auth | Limite les CA pouvant émettre des certs | 0 issue "letsencrypt.org" |
FAQ : Problèmes DNS courants
Q : Mes modifications DNS n'apparaissent pas. Pourquoi ?
R : C'est généralement dû au TTL (Time To Live). Les enregistrements DNS sont mis en cache par les résolveurs. Si votre TTL était réglé sur 86400 (24 heures), la propagation des modifications peut prendre ce temps-là.
Q : Quelle est la différence entre un DNS récursif et un DNS faisant autorité ?
R : Les serveurs récursifs (comme 8.8.8.8) trouvent l'information pour vous. Les serveurs faisant autorité sont la source officielle de vérité pour un domaine spécifique.
Q : Pourquoi l'IP de mon serveur est-elle sur liste noire ?
R : Votre serveur envoie peut-être du spam (peut-être dû à un script compromis) ou vous utilisez une plage d'IP "sale" précédemment utilisée par des spammers. Utilisez un outil de vérification DNSBL pour trouver sur quelles listes vous figurez.
Outils associés
- Commande dig en ligne : Exécutez des requêtes DNS complexes depuis votre navigateur (Prochainement).
- Validateur DNSSEC : Vérifiez la santé cryptographique de votre domaine.
- Vérificateur de liste noire : Vérifiez si votre IP est sur une DNSBL/RBL majeure.
- Générateur de fichier de zone DNS : Créez des fichiers BIND/Zone valides pour votre serveur.