Fondamentaux
DNS
Le DNS transforme les noms de domaine lisibles par les humains en adresses IP utilisables par les machines. C'est un service discret, mais central pour le web, l'email, l'administration et l'investigation.
Fonctionnement
Lorsqu'un utilisateur saisit une adresse dans son navigateur, le poste cherche l'adresse IP associée au nom demandé, puis contacte le serveur correspondant.
www.example.com
↓
Requête DNS
↓
Adresse IP
↓
Connexion au serveur
La résolution peut impliquer plusieurs acteurs :
| Élément | Rôle |
|---|---|
| Client | Machine qui demande la résolution |
| Résolveur récursif | Serveur DNS utilisé par le client |
| Serveur racine | Oriente vers les serveurs du TLD |
| Serveur TLD | Oriente vers les serveurs du domaine |
| Serveur autoritaire | Donne la réponse officielle pour le domaine |
En pratique, beaucoup de réponses viennent du cache du poste, du navigateur ou du résolveur DNS.
TTL et cache
Le TTL indique pendant combien de temps une réponse DNS peut être conservée en cache. Un TTL court facilite les changements rapides, mais augmente le nombre de requêtes. Un TTL long réduit la charge, mais ralentit les corrections.
Enregistrements courants
| Type | Rôle |
|---|---|
A | Nom vers adresse IPv4 |
AAAA | Nom vers adresse IPv6 |
CNAME | Alias vers un autre nom |
MX | Serveur de messagerie |
TXT | Informations diverses, SPF, DKIM, vérifications |
NS | Serveur DNS autoritaire |
SOA | Informations principales de la zone |
CAA | Autorités autorisées à émettre des certificats TLS |
Commandes utiles
Résolution simple
nslookup example.com
Analyse plus complète
dig example.com
dig example.com +short
dig MX example.com
dig TXT example.com
dig NS example.com
dig CAA example.com
dig example.com @1.1.1.1
Suivre la résolution
dig +trace example.com
Serveurs DNS publics
| Fournisseur | Adresse |
|---|---|
| Cloudflare | 1.1.1.1 |
| Google DNS | 8.8.8.8 |
| Quad9 | 9.9.9.9 |
DNS et cybersécurité
Phishing
Les campagnes de phishing utilisent souvent des noms proches de domaines légitimes.
microsoft.com
micr0soft.com
Les variations peuvent utiliser des fautes visuelles, des tirets, des sous-domaines trompeurs ou des extensions différentes.
DNS spoofing
Un attaquant fournit une fausse réponse DNS pour rediriger une victime vers un service frauduleux.
Exfiltration DNS
Certaines attaques utilisent DNS pour faire sortir discrètement des données d'un réseau, car ce trafic est souvent autorisé.
Subdomain takeover
Un sous-domaine peut pointer vers un service cloud supprimé ou non revendiqué. Si ce service peut être recréé par un tiers, le sous-domaine devient dangereux.
Email et usurpation
Les enregistrements SPF, DKIM et DMARC aident à réduire l'usurpation d'identité par email. Une configuration absente ou faible facilite les campagnes de phishing.
Bonnes pratiques
- utiliser des serveurs DNS fiables
- vérifier les domaines avant de saisir des informations sensibles
- maintenir les serveurs DNS à jour
- activer DNSSEC lorsque c'est possible
- surveiller les domaines récemment créés et les résolutions inhabituelles
- nettoyer les anciens sous-domaines
- vérifier les enregistrements email
- journaliser les requêtes DNS utiles à l'investigation
Indices à surveiller
Pendant une analyse, certains signaux doivent attirer l'attention :
- beaucoup de requêtes vers un domaine inconnu
- noms de domaines très longs ou aléatoires
- résolutions vers des pays ou hébergeurs inattendus
- changement soudain d'adresse IP
- domaine très récent utilisé dans un email
- échecs DNS répétés vers des noms générés automatiquement
À retenir
Le DNS est à la fois un service de confort, un point de dépendance et une source précieuse d'indices pendant une enquête.