Un seul fournisseur DNS ne suffit pas !

Le DNS (Domain Name System) est l’un des protocoles les plus importants sur Internet. Il est souvent appelé « l’annuaire téléphonique d’Internet » (même si la plupart des experts DNS méprisent cette description).

En termes simples, le DNS est un annuaire décentralisé permettant de résoudre des ressources. Disons par exemple que vous souhaitez visiter le site Web de F5 ; plutôt que de mémoriser l'adresse physique (adresse IP) du serveur Web de F5, vous pouvez simplement saisir « www.f5.com » dans votre navigateur Web et le DNS se chargera de communiquer à votre système d'exploitation l'adresse IP du site Web de F5.

Le DNS est une bête intéressante : c'est un vieux protocole (le premier RFC date de 1987), qui n'a pas changé depuis un certain temps et qui a connu de nombreux changements intéressants ces dernières années, visant à le sécuriser, avec des choses comme DNS-over-TLS (DoT) et DNS-over-HTTPS (DoH).

C'est toujours le DNS

Un autre dicton bien connu parmi les spécialistes du DNS est « C’est toujours le DNS » — même si ce n’est bien sûr pas toujours le cas, cela signifie que lorsque le DNS a des problèmes, cela est immédiatement remarqué.

Pannes DNS

Les récentes pannes DNS, telles que celles rencontrées par Akamai (23 juillet 2021) ou Cloudflare (juillet 2020, bien qu'il s'agisse d'une panne à l'échelle du réseau, mais qui a également eu un impact sur le DNS) confirment clairement que les pannes en général, et les pannes DNS en particulier, se produisent, quelle que soit la redondance des systèmes : qu'il s'agisse d'un problème de routage, d'un bug logiciel ou d'une mauvaise configuration introduite par l'homme, il est presque impossible de garantir qu'un système sera toujours opérationnel.

Comment éviter cela ?

Le moyen le plus simple d'empêcher qu'une panne DNS ne mette complètement hors ligne votre présence en ligne est d'utiliser plusieurs fournisseurs DNS.

Le DNS, en tant que protocole, dispose de mécanismes intégrés permettant d'ajouter facilement des « services DNS secondaires », en utilisant des transferts de zone.

Cela signifie que chaque fois qu'une modification est effectuée sur votre fournisseur DNS principal, un message de notification (NOTIFY) sera envoyé à votre/vos fournisseur(s) secondaire(s), qui à leur tour demanderont les dernières modifications.

Avantages d'avoir plusieurs fournisseurs DNS

En plus d'avoir un « plan B » chaque fois qu'un événement se produit chez l'un de vos fournisseurs DNS, avoir d'autres fournisseurs DNS « à votre actif » offre les avantages suivants :

• Diversité des logiciels : le fournisseur B utilisera probablement un logiciel DNS différent de celui du fournisseur A. Si un bug touche A, il n’affectera pas (espérons-le) B.
• Redondance du réseau : Les fournisseurs DNS traitent les requêtes DNS à partir de leur réseau, ce qui signifie que même si le DNS est toujours opérationnel, une panne de réseau entraînera une panne du DNS. Avoir un deuxième fournisseur DNS, utilisant un réseau/ASN (système autonome) différent, permet d'atténuer ce problème.
• Latence : avoir une faible latence est essentiel pour obtenir des réponses DNS rapides ; cependant, certains réseaux ont de meilleures latences dans des régions spécifiques que d'autres. Avoir un autre fournisseur peut aider à avoir une bonne latence dans le monde entier.

Pour conclure

N’attendez pas la prochaine panne de votre fournisseur DNS pour étudier ce que vous pouvez faire !

F5 propose des services DNS primaires et secondaires via notre réseau Anycast, protégés derrière nos systèmes de protection DDoS Silverline. Contactez-nous ! email: sales@volterra.io