Cet article vous a plu?
0
Cet article vous a plu?
0

Qu’est-ce qu’un serveur racine ? Définition et fonctionnement

Dès que l’on communique avec un service en ligne (par exemple une page Internet ou une adresse email), le serveur racine du DNS ou serveur racine apporte une contribution importante pour déterminer l’adresse du service. C’est une partie du DNS (Domain Name Systems, en français système de noms de domaine) qui est un pilier élémentaire d’Internet pour les résolutions de nom dans le système DNS c’est-à-dire la traduction d’un nom de domaine (par exemple www.1and1.fr) en une adresse IP. Ce processus est nécessaire car vous pouvez contacter un service en ligne uniquement à l’aide d’une adresse IP et ainsi obtenir les données demandées.

Différences d’un serveur racine dédié

Tout d’abord une remarque importante : les serveurs racine du DNS sont le sujet de cet article et sont les serveurs racine du système de noms de domaine. Ils ne doivent pas être confondus avec les serveurs racine dédiés (Dedicated Root Server) qui eux peuvent être loués à partir de fournisseurs d’hébergement Web. Ces serveurs sont parfois familièrement nommés serveurs racine car ils se distinguent d’un serveur managé par le fait d’un accès à la racine, dit root acces (vous trouverez une définition plus détaillée de ces deux formes de serveurs ici.

Les paragraphes suivants expliquent la façon dont un serveur racine fonctionne dans le Domain Name system (DNS) et comment il partage les informations avec un client (par exemple un navigateur ou un programme de messagerie électronique). Nous allons également définir ce qu’est une zone de racine DNS et quelles mesures de sécurité peuvent être prises en ce qui concerne les serveurs racine du DNS.  

Serveur racine du DNS : définition

Un serveur racine du DNS (ou sous sa forme abrégée : serveur racine) est un serveur qui joue un rôle fondamental dans la traduction d’un nom de domaine en une adresse IP. Il répond en effet aux demandes ou requêtes (Requests) des clients dans la zone racine du DNS (la zone racine marque le niveau le plus élevé, ou le premier niveau dans l’espace de nom du DNS). Les serveurs racine du DNS n’exécutent pas la résolution de noms eux-mêmes, mais donnent plutôt aux clients les informations sur lesquelles d’autres serveurs de noms (serveurs DNS) obtiennent plus informations sur l’adresse IP demandée.

Cela s’effectue via le fichier de zone racine qui fait partie de n’importe quel serveur racine du DNS. Le fichier en tant que tel n’a qu’une taille d’un peu moins de 2 Mo. Toutefois il contient tous les noms et toutes les adresses IP des domaines de premier niveau (ou TLD pour Top Level Domain). Ces données possèdent une fonction importante, en effet, un serveur racine s’appuie dessus quand il a appelé les serveurs DNS client, où d’autres informations importantes concernant la requête sont disponibles.

Mais même si vous transférez uniquement les requêtes, les serveurs racine du DNS sont indispensables pour la résolution de noms. Sans eux, le DNS ne fonctionnerait pas sous sa forme actuelle. Un serveur racine travaille à la racine (root en anglais) du système de nom de domaine et est donc d’une certaine manière le plus important opérateur d’adresses Internet.

Le fonctionnement du serveur racine

Mais comment un serveur racine du DNS aide à identifier l’adresse IP d’un site Internet ? Pour comprendre le fonctionnement du serveur racine, il est utile de retracer le déroulement principal de la résolution de noms dans le DNS.

En plus d’une adresse Internet individuelle (le nom de domaine), chaque service Internet possède une adresse IP numérique unique associée au nom de domaine. Par exemple le site Web de 1&1 a reçu l’adresse IPv4 « 17.160.72.6 ». Si vous appelez dans votre navigateur www.1and1.fr, le nom alphanumérique du site Web doit d’abord être converti en cette adresse IP afin que votre navigateur puisse afficher la page.

Le processus de résolution de noms dans le DNS

L’objectif principal d’un DNS est la traduction de noms de domaines en adresses IP (nommé également « forward lookup »). Le processus de résolution de noms sur Internet est une opération hiérarchiquement organisée. Mais avant que le DNS soit chargé de la résolution de nom, le système essaie habituellement de trouver l’adresse IP souhaitée dans votre propre stockage de données.

Le nombre de stations différentes traversées par une demande et dans quel ordre cela se produit dépendent bien évidemment d’autres facteurs comme le système d’exploitation utilisé ou si UDP (User Datagram Protocol) ou bien NetBIOS over TCP/IP est utilisé comme un protocole. Seule la résolution de noms sur les différents serveurs dans le DNS est toujours la même. Nous allons vous expliquer les phases les plus importantes qui sont effectuées lors de la recherche de l’adresse IP appropriée à un site Web et vous détailler quel rôle joue le serveur racine du DNS.

  1. Après avoir initié un appel d’une page Web (comme par exemple www.1and1.fr) dans votre client, le « DNS Resolver local » de votre ordinateur est assigné au départ à la résolution de noms. Un « resolver » est un module qui agit comme une interface entre une application et un serveur DNS. Il regarde d’abord en premier dans le fichier hôte s’il existe une entrée pour le nom de domaine. À l’aide de ce fichier texte, la résolution de nom peut être effectuée directement via votre propre ordinateur du moins si vous avez assigné manuellement une adresse IP à un nom d’hôte au préalable. Comme le fichier hôte est un vestige de l’époque antérieure à l’apparition des DNS et qu’il a été peu à peu remplacé par ce dernier, la plupart des utilisateurs ne s’en sert pas et ne maintient pas le fichier, ce qui explique pourquoi il n’est généralement pas une aide potentielle pour la résolution de noms. 
  2. S’il n’y a pas d’enregistrement pour le site Web demandé dans le fichier hôte, l’application du « DNS-Resolver » ou le système d’exploitation vérifie désormais le cache (mémoire tampon) de votre client pour le nom de domaine. Si vous avez déjà visité la page Web demandée ou une autre page du même site sur Internet (par exemple « 1and1.fr/digitalguide/») et que les informations à ce sujet se trouvent toujours dans le cache, alors l’adresse IP peut ainsi être acquise.
  3. Si le « Resolver local » n’a pas pu effectuer la résolution de noms dans le cache (parfois en raison de l’absence de cache), le DNS du réseau est utilisé par la suite. C’est habituellement votre routeur réseau à l’aide duquel vous allez sur Internet. Le DNS du routeur se renseigne sur le serveur de noms de votre fournisseur de services Internet (Provider) pour l’adresse IP du site Web dès lors qu’il ne l’a pas trouvé sur son propre cache.
  4. Le serveur DNS de votre fournisseur tente de trouver l’adresse IP du nom de domaine en effectuant un recoupement de sa base de données. Les différents « DNS-Resolvers » sont aussi utilisés pour obtenir les informations.
  5. Si ceci ne mène à aucun résultat, le serveur DNS du fournisseur se tournera alors vers un serveur racine et demandera d’autres informations sur le domaine de premier niveau (TLD) du site Web demandé (la partie arrière d’un nom de domaine représente le TLD, par exemple .com ou .fr). Le fichier de zone racine est consigné sur le serveur racine du DNS, il est chargé d’obtenir des informations complémentaires sur un TLD en particulier. Les informations correspondantes à la demande sont par la suite transmises au serveur de noms du fournisseur. Dans le nom de domaine www.1and1.fr, le serveur racine s’adresse au serveur de noms TLD de l’Afnic (Association française pour le nommage Internet en coopération), puisque ce dernier est responsable en tant qu’office d’enregistrement de tous les noms de domaine .fr.
  6. Ensuite le serveur de noms du fournisseur interroge le serveur de domaine de premier niveau (TLD) et ne reçoit pas encore de réponse définitive, mais la demande est à nouveau transmise : les serveurs de domaine de premier niveau n’ont qu’une fonction de transfert. Vous informez le serveur demandeur sur quel serveur DNS autoritaire le nom de domaine recherché est consigné.
  7. A ce stade, le serveur du fournisseur se tourne désormais vers le serveur faisant autorité qui est responsable du nom de domaine et obtient finalement l’adresse IP désirée.
  8. Enfin pour la dernière étape, le serveur du fournisseur transmet l’adresse IP au serveur DNS de votre routeur, qui le transmettra à votre « Resolver local ». À partir de là, l’adresse est transférée à votre navigateur, qui peut ainsi être utilisée pour demander, charger et afficher le site Internet.

Ainsi, pendant le processus de résolution de nom, de nombreux serveurs différents peuvent être utilisés. Toutefois, dans le cadre de ce processus, les serveurs racine jouent un rôle spécial : ils représentent l’instance suprême au sein de la résolution de noms : si un nom de domaine ne peut pas être converti en adresse IP via le « Resolver local » ou le serveur DNS du fournisseur, un serveur racine est alors le premier point de contact pour la détermination de l’adresse IP. Et même si la résolution de nom est réussie dans une étape précédente, les informations nécessaires stockées ont été collectées dans le passé par un serveur racine du DNS. Par conséquent, il est important que les serveurs puissent constamment assurer leur service.

Vue d’ensemble des serveurs racine du DNS

Il existe au total 13 principaux serveurs de racine du DNS. Chacun est nommé à l’aide de lettres de « A » à « M ». Tous comportent une adresse IPv4 et la plupart une adresse IPv6. La gestion de base du serveur racine est la responsabilité de l’ICANN (Internet Corporation for Assigned Names and Numbers). Ils sont cependant gérés par des institutions différentes pour s’assurer que l’échange de données dans la zone racine est toujours correct, accessible et sécurisé.  En plus des opérateurs des serveurs racine du DNS, la vue d’ensemble montre également les adresses IP.

Lettre des serveurs racine du DNS Adresse IPv4 Adresse IPv6 Opérateurs
A 198.41.0.4 2001:503:ba3e::2:30 VeriSign
B 192.228.79.201 2001:478:65::53 USC-ISI
C 192.33.4.12 2001:500:2::c Cogent Communications
D 199.7.91.13 2001:500:2d::d University of Maryland
E 192.203.230.10   NASA
F 192.5.5.241 2001:500:2f::f ISC
G 192.112.36.4   U.S. DoD NIC
H 128.63.2.53 2001:500:1::803f:235 US Army Research Lab
I 192.36.148.17 2001:7FE::53 Autonomica
J 192.58.128.30 2001:503:c27::2:30 VeriSign
K 193.0.14.129 2001:7fd::1 RIPE NCC
L 199.7.83.42 2001:500:3::42 ICANN
M 202.12.27.33 2001:dc3::35 WIDE Project

Chaque serveur racine possède une copie identique du fichier de zone racine qui de temps en temps nécessite une mise à jour, par exemple si notamment le registre de nom de domaine qui est responsable d’un TLD change. La modification apportée au fichier de la zone racine est un processus relativement complexe : dès qu’une demande de mise à jour est effectuée, l’IANA (Internet Assigned Numbers Authority : un département de l’ICANN) la vérifie au préalable. Si tout est correct, alors le département du commerce américain doit approuver cette demande, car l’ICANN est contractuellement lié à cette autorité. Ce n’est qu’alors que la modification sera mise en œuvre par la société Verisign (qui elle-même exploite deux serveurs racine) dans la zone racine.

Mesures de sécurité du serveur racine du DNS

Tous les jours, les serveurs racine sont confrontés à un grand nombre de demandes. Cependant, la plupart des 13 serveurs de noms de la racine ne répondent pas uniquement aux demandes des clients, mais le font en collaboration avec plusieurs autres serveurs : cette distribution des requêtes entrantes est contrôlée par la technologie Anycast. Par conséquent, il y a beaucoup plus que 13 serveurs qui prennent en charge les requêtes dans la zone racine. Au total plusieurs centaines de serveurs sont répartis à travers le monde. La plupart restent tout de même situés aux Etats-Unis et en Europe.

La dispersion des serveurs vise notamment à augmenter la répartition de la charge et donc la fiabilité du serveur racine : avant l’utilisation d’Anycast il n y a avait que les 13 serveurs racine principaux qui prenaient soins de répondre aux demandes. Puisque 10 d’entre eux se trouvent aux États-Unis, ce n’est que grâce à la technologie Anycast qu’un traitement relativement décentralisé des demandes de la zone racine était sécurisé et garanti. La répartition mondiale des serveurs favorise également des temps d’accès plus courts dans le traitement des demandes, car le serveur le plus proche s’occupe de répondre aux demandes.

Une autre mesure de sécurité consiste à limiter la capacité du serveur racine utilisé en fonctionnement normal : en effet, seulement un tiers des ressources informatiques totales disponibles est utilisé par les serveurs. Il s’agit de s’assurer que même malgré la défaillance de plusieurs serveurs racine du DNS, la résolution de noms puisse rester stable. Dans ce cas, le serveur actif restant accepte les demandes qui étaient destinées aux serveurs défaillants en augmentant simplement son utilisation des ressources.

En conséquence, dans le passé, diverses attaques DDoS sur le serveur racine du DNS n’ont pas eu beaucoup d’effets, puisque ces mesures de sécurité et précautions sont bien trop puissantes. Et les opérateurs des 13 serveurs racine connaissent trop bien l’importance de ces serveurs pour le bon fonctionnement d’Internet : sans eux, l’adressage de tous les services Web est en péril.

Réseau