Pour se défendre face à cette pratique, le protocole DNSSEC utilise les principes de cryptographie asymétrique et de signature numérique pour garantir l'authenticité des données, ainsi qu'une preuve de non-existence si l'enregistrement demandé n’a aucune existence et pourrait être considéré comme frauduleux.

Activer DNSSEC

Un serveur DNS sert à obtenir l'adresse IP correspondant à un nom de domaine (URL dans le cas d'un site web). Il s’agit en quelque sorte d’un annuaire. Le service DNS traduit les noms de domaine en adresses IP ainsi qu’en d’autres types d’enregistrements. L'adresse IP est nécessaire à votre navigateur pour qu'il puisse contacter le serveur web responsable du site que vous voulez visiter, car l'adresse IP identifie de façon unique chaque machine reliée à Internet, exactement comme un numéro de téléphone. C'est un maillon discret mais crucial pour la sécurité sur Internet. L’exemple le plus commun de serveur DNS est le serveur BIND, le plus présent sur internet.

À l’heure actuelle, les adresses IP sont principalement enregistrées en IPv4 et une amorce de transition a été enclenchée pour utiliser des adresses IPv6. Chaque association de nom de domaine à une adresse IP est unique.

Les serveurs DNS ont une hiérarchie. La racine (généralement représentée par un point) est le centre hiérarchique le plus haut. Dans un domaine, on peut alors créer plusieurs sous-domaines qui eux-mêmes peuvent créer des délégations de sous-domaines hébergés sur d’autres serveurs. Les délégations créent alors des zones qui ont leur propre système hiérarchique. Les domaines se situant juste en dessous de la racine sont les domaines primaires (TLD pour Top Level Domain). Les mises à jour se font sur le serveur primaire du domaine. Le transfert de zone consiste en la reproduction des enregistrements du serveur primaire par les serveurs secondaires.

Lorsque qu’un hôte cherche un domaine, il parcourt l’ensemble de la hiérarchie du DNS de façon itérative jusqu’au domaine précis. Un fournisseur d’accès Internet met à la disposition de ses clients des serveurs récursifs effectuant des recherches de ce type. Lorsque ce serveur effectue une recherche d’adresse IP, le serveur envoie la demande aux serveurs racine. Il va alors en choisir un capable de lui fournir une réponse. Si ce n’est pas le cas, il va en choisir un autre dans la liste des serveurs et ainsi de suite. Il est possible qu’il consulte plusieurs serveurs avant de trouver celui qui correspond à la requête.

Dans le cas d’une résolution inverse (ou reverse DNS), c’est-à-dire d’une recherche en utilisant son adresse IP en premier. Elle se réalise grâce à une entrée PTR. Elle indique à quel nom du serveur hôte correspond l’adresse du serveur concerné. Si elle est spécifiée, elle doit contenir l'enregistrement inverse d'une entrée DNS A ou AAAA. Les requêtes des serveurs de messagerie en ligne (e-mails, etc.) ne possèdent pas d’enregistrement PTR, elles ont donc plus de chance de ne pas aboutir.

Concernant les autres enregistrements DNS, on trouve généralement le SOA record (Start Of Authority record) qui renseigne sur la zone : serveur principal, e-mail de contact, différentes durées dont celle d'expiration, numéro de série de la zone, etc. Il est en quelque sorte la carte d’identité du serveur DNS. Cet enregistrement de type de données DNS comporte un numéro de série qui s’incrémente à chaque modification du fichier de zone.

On trouve également le TXT record qui permet à un administrateur de créer du texte dans un enregistrement DNS. Tout type d’enregistrement est associé à un TTL (Time to live) qui correspond à une durée de vie, c’est-à-dire combien de temps il est autorisé à être stocké dans un serveur cache. C’est là que peut intervenir l’attaque d’empoisonnement du cache DNS (ou DNS cache poisoning).

L’empoisonnement du cache DNS, ou pollution de cache DNS, est une technique de hacker visant à tromper un serveur DNS en lui faisant croire qu’il reçoit une réponse valide et authentique à une requête. Le serveur DNS ainsi contaminé met l’information dans un cache. Les utilisateurs sont alors redirigés vers des sites douteux, pouvant notamment servir à l’hameçonnage ou comme canal pour installer un virus.

Généralement, l’attaquant exploite une vulnérabilité du serveur DNS qui accepterait des requêtes imprécises ou fausses. Les victimes, qui s’attendent à atteindre le contenu désiré, se retrouvent face à un autre contenu potentiellement dangereux.

Généralement un serveur DNS possède un port 53. La taille maximale d’une réponse doit être de 512 octets. Si elle dépasse cette taille, la requête est renvoyée sur le Tcp 53. Une redirection de ce type est toutefois rare car les hébergeurs restreignent la possibilité de transférer des zones DNS de cette manière.

Activer DNSSEC

Retrouvez toutes les informations pour activer DNSSEC dans les guides ci-dessous :
Editer ma zone DNS
Configuration du serveur DNS