Serveur racine du DNS - Définition
La liste des auteurs de cet article est disponible ici.
Introduction
Un serveur racine du DNS est un serveur DNS qui répond aux requêtes qui concernent les noms de domaine de premier niveau (top-level domain, TLD) et qui les redirige vers le serveur DNS de premier niveau concerné. Bien qu'il puisse exister d'autres hiérarchies DNS avec d'autres serveurs racine, « serveur racine du DNS » est généralement utilisé pour désigner l'un des treize serveurs racine du Domain Name System d'Internet géré sous l'autorité de l'ICANN.
Dans le système des noms de domaine, le point est un séparateur de domaine. Par convention, un Fully Qualified Domain Name est terminé par un point, ce qui signifie qu'il est suivi par une chaîne vide qui représente le domaine racine. Par extension, on représente aussi le domaine racine par un point.
Les autres domaines de premier niveau (.com, .org, .fr, etc.) sont des sous-domaines du domaine racine.
Requêtes DNS destinées aux serveurs racine
Un serveur DNS s'adresse à l'un des serveurs racine dans deux cas :
- au démarrage, pour déterminer la liste à jour des serveurs racine.
- quand il doit déterminer la liste des serveurs de noms d'un domaine de premier niveau.
Les informations sont ensuite mise dans le cache du serveur DNS pendant une longue durée : 6 jours pour la liste des serveurs de la racine, 2 jours pour les informations des serveurs des TLD. Ces informations variant peu, les requêtes vers les serveurs racine sont donc relativement peu nombreuses.
Les serveurs de la racine sont non-récursifs, c'est-à-dire qu'ils ne fournissent que des réponses qui font autorité, ne transmettent aucune requête à un autre serveur et ne font pas usage d'un cache. Ils ne sont donc pas utilisables directement par un resolver d'un client final.
Une étude de 2003 indique que seuls 2 % des requêtes à destination de ces serveurs étaient légitimes. Les mises en cache incorrectes ou inexistantes sont à l'origine de 75 % des demandes. 12,5% concernent des demandes pour des domaines de premier niveau inconnus, 7% parce qu'elles traitent des adresses IP comme des noms de domaines, etc. Certains ordinateurs de bureau mal configurés tentent même de mettre à jour les enregistrements des serveurs racine ou sollicitent de la récursion, ce qui est le résultat d'une erreur de configuration. Les problèmes observés et les solutions pour y remédier sont décrites dans la RFC 4697.
En 2007, il y avait environ dix milliards de requêtes vers les serveurs racine quotidiennement.
Les serveurs racine font également autorité pour les domaines domaines arpa et in-addr.arpa, utilisés pour la résolution inverse des adresses IPv4.
Limitation du nombre de serveurs
La RFC 1035 prévoit que les requêtes et les réponses DNS sur UDP ne dépassent pas 512 octets. Si la réponse est plus volumineuse, TCP doit alors être utilisé. Ceci consomme plus de ressources et présente le risque d'être bloqué par un pare-feu. Ce cas de réponse volumineuse est rare en pratique, mais la liste des serveurs de noms de la zone racine avec les adresses IP correspondantes atteint cette limite, 671 octets étant nécessaires pour une réponse complète en juillet 2010.
Les serveurs A, C, F, G, I, J, K, L et M sont maintenant distribués géographiquement grâce à anycast. En général, le serveur le plus proche du client au sens du réseau sera alors utilisé. C'est ainsi que la plupart des serveurs DNS physiques sont à présent situés hors des États-Unis.
Les serveurs racines du DNS peuvent également être déclinés localement, sur les réseaux des FAI par exemple. Ils doivent être synchronisés avec le fichier de la zone racine du Département du Commerce des États-Unis ainsi que le préconise l'ICANN. De tels serveurs ne sont pas des serveurs DNS alternatifs mais une déclinaison locale des serveurs racines du DNS A à M.
L'extension EDNS0 (RFC 2671) permet d'utiliser une taille de paquets plus élevée, sa prise en charge est recommandée pour IPv6 comme pour DNSSEC.
