Système de noms de domaine/Le modèle hiérarchique

Un livre de Wikilivres.

Le DNS possède un modèle hiérarchique. Dans cette partie, nous allons partir de la racine de l'arbre et aller vers les différentes branches de l'arbre. Nous n'allons pas ou très nous préoccuper des implémentations au niveau de serveurs. C'est essentiellement le modèle qui nous intéresse ici.

Historique[modifier | modifier le wikicode]

Le fichier unique Hosts au SRI (Stanford research Institute).

La structure arborescente du DNS[modifier | modifier le wikicode]

Les RFC de référence sont les RFC 1034 et RFC 1035 (en remplacement des RFC 882 et RFC 883). Ces RFC décrivent un modèle arborescent. Ils restent plus de 20 ans après la base du DNS aujourd'hui.

Concepts de base[modifier | modifier le wikicode]

  • Domaine
  • Sous-Domaine
  • Zone
  • Délégation


Similitude avec les autres annuaires[modifier | modifier le wikicode]

Un annuaire est un système qui centralise les informations concernant les utilisateurs et les services pour en simplifier l'administration. Un annuaire est une base de données, cependant la réciproque est fausse. En effet, un annuaire possède certaines particularités : il est plus sollicité en lecture qu'en écriture et les transactions gérées sont de nature simple (pas de transactions en concurrence ou de gros volume de données).

Le modèle arborescent n'est pas unique au DNS. Au contraire, il est même courant dans le monde des annuaires. D'autres annuaires utilisent donc un modèle similaire. On peut citer plusieurs exemples :

  • X500 le modèle de l'annuaire
  • LDAP simplification du modèle X500
  • Active Directory de Microsoft (basé sur LDAP)
  • UDDI annuaire de services web

UDDI[modifier | modifier le wikicode]

UDDI est un annuaire des services web. Sa version 3 (la dernière) prévoit une structure hiérarchique.

Monde de Microsoft et le DNS[modifier | modifier le wikicode]

WINS et DNS[modifier | modifier le wikicode]

Les anciens réseaux Microsoft utilisent le protocole NetBEUI. Dans ces réseaux les machines sont identifiées par un nom NetBIOS et l'adresse physique de la carte réseau. NetBEUI ne passe pas les routeurs. Et NetBEUI est remplacé par des protocoles plus modernes.

WINS signifie Windows Internet Naming Service. Il va faire le lien entre l'adresse IP et les noms NetBEUI.

  • Serveur DNS : FQDN (hostname) <--> adresse IP
  • Serveur WINS : nom NetBIOS <--> adresse IP

Contrairement au DNS statique, WINS est dynamique. Dans certains cas, un serveur WINS peut cohabiter avec un serveur DNS.

Active Directory et le DNS[modifier | modifier le wikicode]

Voir l'article de Wikipédia : http://fr.wikipedia.org/wiki/Active_Directory

Voir également la présentation d'Active Directory http://manu.all-3rd.net/docs/hsc/docs/publications/ad/print/main.pdf

Active Directory est le service d'annuaire mis en place par Microsoft dans les derniers Windows (2000 et suivants). Il remplace le service d'annuaire de Windows NT4 qui souffre de nombreuses limites. Ainsi dans NT4 la base des utilisateurs était limitée à 40 000 entrées. AD s'inspire de LDAP et intègre le DNS. C'est donc un système assez complexe.

Active Directory est basé sur la notion de domaine (Windows). Ces domaines s'organise en arbres et en forêts. Un arbre est un ensemble de domaines composant une structure hiérarchique où un domaine fait office de domaine racine : exemple stagiaires.soc.fr, techniciens.soc.fr et soc.fr. La notion de forêt est un ensemble de domaine qui ne sont pas sous-domaines les uns des autres, mais liés par une relation de confiance bidirectionnelle transitive.

DDNS pour (Dynamique Domain Name Service) est l'implémentation DNS de Microsoft. Son but est notamment de remplacer l'ancien WINS (Windows Internet Naming Service). DDNS est donc lié à Active Directory, il profite des mécanismes de réplication et du système de permissions via les ACL d'Active Directory.

DDNS interopère avec BIND version 8.2 et supérieur. Il a besoin, pour pouvoir fonctionner correctement, d'un DNS supportant les enregistrement SRV (RFC 2782), les mises a jour dynamiques (RFC 2136) et les transferts de zone.

DDNS supporte le transfert de zone incrémental (RFC 1995) et DNSSEC.

Contraintes sur les noms[modifier | modifier le wikicode]

Il existe deux types de contraintes :

  • des contraintes syntaxiques (liées à l'historique et à la mise en œuvre du DNS)
  • des contraintes issues des décisions des acteurs dans les chartes de nommage

Exemple dans le cadre du .fr, l'AFNIC maintient une charte de nommage qui dans son article 21 reprend les contraintes syntaxiques et dans son article 20 décrit une liste de termes fondamentaux (interdits et réservés). Les termes interdits sont liés à des crimes et délits. Les termes réservés protègent notamment les termes géographiques comme les villes et les professions.

La correspondance inverse[modifier | modifier le wikicode]

Il s'agit de faire la correspondance entre les adresses IP et les noms de serveurs.

Rappel sur les adresses IPv4[modifier | modifier le wikicode]

Initialement les adresses IP étaient réparties en 5 classe (de A à E) basé sur des blocs de 8 bits.

Classe A

0 netid 7 bits 24 bits hostid

Classe B

1 0 netid 14 bits 16 bits hostid

Classe C

1 1 0 netid 21 bits 8 bits hostid

Classe D

1 1 1 0 multicast 28 bits

Classe E

1 1 1 1 0 réservé à usage futur 27 bits


Classe Espace
A   0.0.0.0 à 127.255.255.255
B 128.0.0.0 à 191.255.255.255
C 192.0.0.0 à 223.255.255.255
D 224.0.0.0 à 239.255.255.255
E 240.0.0.0 à 247.255.255.255

Par la suite, ce modèle de classes A, B et C a été incapable de répondre à la demande des adresses IP. Les classes A gaspillent de nombreuses adresses. CIDR (classless Inter Domain Routing, RFC 1517) permet un découpage plus fin qui ne dépend pas des frontières de 8 bits. La notation est alors <adresse> / <nombre de bits significatifs>. Ainsi 192.0.0.0/8 peut être noté 193/8. On peut imaginer un fournisseur d'accès à Internet gérant les adresses 192.168.0/22. Il peut repartir sa plage d'adresses entre 4 entreprises A, B, C et D : 192.168.0/24, 192.168.1/24, 192.168.2/24, 192.168.3/24.

Le RFC 1918 définit les plages d'adresse IPv4 réservées pour IPv4. Ce sont :

  • 10/8 (10.0.0.0 - 10.255.255.255)
  • 172.16/12 (172.16.0.0 - 172.31.255.255)
  • 192.168/16 (192.168.0.0 - 192.168.255.255)
Les RIR[modifier | modifier le wikicode]

Association regroupant des informations communes http://www.nro.net

La gestion des adresses IPv4 est une fonction de l'IANA, donc maintenant de l'ICANN. L'ICANN attribue une partie de l'espace d'adressage des registres régionaux ou RIR (Regional Internet Registries). Il existe 5 RIR :

  • l'APNIC (Asia Pacific Network Information Centre) pour la zone Asie - Pacifique
  • l'ARIN (American Registry for Internet Numbers) pour la zone Amérique du nord
  • le RIPE NCC (Réseaux IP Européens - Network Coordination Centre) pour l'Europe, le Moyen-Orient
  • l'AfriNIC (African Regional Network Information Centre) pour l'Afrique
  • le LACNIC (Latin American and Caribbean IP address Regional Registry) pour l'Amérique latine

Les RIR les attribuent à des registres locaux ou LIR qui sont parfois des fournisseurs d'accès à Internet. L'allocation des adresses IP est décrite dans le RFC 2050. Cette RFC est un peu ancienne et l'IANA maintient sur son site la répartition des adresses IPv4 http://www.iana.org/assignments/ipv4-address-space.

Correspondance des adresses IPv4[modifier | modifier le wikicode]

Cette correspondance utilise le TLD technique arpa. Dans ce domaine, in-addr.arpa est le sous domaine reservé pour la gestion des adresses IPv4.

Ainsi la recherche de l'adresse IP 192.0.2.1 correspond à la recherche du nom de domaine 1.2.0.192.in-addr.arpa.

Correspondance inverse et CIDR[modifier | modifier le wikicode]

Voir RFC 2317

La racine du DNS[modifier | modifier le wikicode]

L'ICANN[modifier | modifier le wikicode]

C'est une association californienne sans but lucratif. Elle gère notamment la racine du DNS.

Modèle de racine unique[modifier | modifier le wikicode]

Le DNS se base sur un modèle avec une racine "logique" unique. Ce modèle est décrit dans la RFC 2826. Cela signifie qu'il existe qu'une seule source de données. Ce modèle est repris dans le document ICP-3 de l'ICANN "A Unique, Authoritative Root for the DNS" http://www.icann.org/icp/icp-3.htm. ICP signifie Internet Coordination Policy.

Par contre physiquement, il existe plusieurs serveurs redondant qui implémentent la racine.

Les serveurs root[modifier | modifier le wikicode]

Treize serveurs root, cette limite évite d'avoir des messages DNS trop long.

Répartition spatiale :

  • 10 aux États-Unis
  • 2 en Europe
  • 1 en Asie (Japon)

La gestion correcte des serveurs racines est décrite dans le RFC 2870.

La technique Anycast[modifier | modifier le wikicode]

La technique anycast va permettre d'associer à une adresse IP plusieurs machines éloignées physiquement. Une seule machine parmi le groupe va réponse au datagramme IP. Anycast est prévu dans le cadre de IPv6. Cette technique a été reprise dans le cadre de IPv4.

L'application d'anycast au DNs est décrite dans le RFC 3258 (avril 2002). Actuellement, cette technique permet de passer de 13 serveurs root à environ 60. Par contre, il n'y a que 13 adresses IPv4 pour ces serveurs.

Les TLD[modifier | modifier le wikicode]

TLD signifie Top Level Domain ou en français noms de domaine de premier niveau.

On distingue dans un premier niveau d'abstraction :

  • les gTLD de type générique
  • les ccTLD liés à un pays ou plus généralement à un territoire

Un second niveau de détails ajoute les sTLD et le TLD technique ".arpa".

Les gTLD[modifier | modifier le wikicode]

Ce sont les très connus .com .net et .org. À partir de 2001, l'ICANN a introduit des TLD de seconde génération comme le .biz et le .info.

Les sTLD[modifier | modifier le wikicode]

sTLD sont une variante des gTLD. Il s'agit des TLD "sponsorisés". Cette notion apparaît dans le RFC 3071.

La définition en anglais selon l'ICANN est la suivante : The Sponsored Top Level Domain (sTLD) is a TLD that is delegated to an organization that has responsibility for the formulation and enforcement of certain policies that would normally be formulated and enforced by ICANN (Internet Corporation for Assigned Names and Numbers). The Sponsoring Organization represents the interests of the TLD community.

Donc la notion de sTLD fait apparaitre la notion de sponsor qui représente les intérets de la communauté liée au TLD. Les exemples des sTLD sont les ".aero" et ".museum".

Les ccTLD[modifier | modifier le wikicode]

Ce sont les .fr .be ... Ces noms suivent la norme ISO 3166-1. Environ 240 sont définis.

le TLD infrastructure (arpa)[modifier | modifier le wikicode]

C'est le ".arpa". Il gère la résolution inverse et toutes les extensions du DNS. les détails de TLD infrastructure est décrit dans le RFC 3172 (septembre 2001) qui définit les sous-domaines "in-addr.arpa", "ip6.arpa" et "e164.arpa". L'IANA gère ce domaine http://www.iana.org/arpa-dom/. Dans la pratique ce TLD est un véritable racine technique et se trouve sur les serveurs racine.

La gestion des adresses IP (résolution inverse) se fait en liaison avec les RIR (regional IP registries exemple RIPE) avec les sous-domaines suivant :

  • in-addr.arpa (adresses IPv4)
  • ip6.arpa (adresses IPv6)

Autres fonctions

  • e164.arpa ENUM
  • iris.arpa destiné à IRIS le successeur de WHOIS
  • uri.arpa
  • urn.arpa

Le domaine iris.arpa est destiné à la mise en œuvre de IRIS le successeur de WHOIS. Ce sous-domaine est prévu dans le RFC 4698 (page 32).

Actualités récentes concernant les TLD[modifier | modifier le wikicode]

L'attitude de l'ICANN reste assez prudente sur l'ouverture de nouveaux TLD. Cependant, l'importance commerciale et stratégique de l'Internet alimente les projets de nouveaux TLD. L'actualité récente le prouve.

Selon les sources, le coût de la création d'un TLD à l'ICANN s'élève entre 40 000 et 80 000 euros.

Les TLD lancés en 2006[modifier | modifier le wikicode]

  • Le .cat pour la communauté catalane (sTLD).
  • Le .eu pour la communauté européenne (ccTLD).
  • Le .mobi pour téléphonie mobile (sTLD)

Le .cat pour la communauté catalane a eu impact énorme sur les projets de TLD régionaux (Bretagne, Écosse, Galice). En effet, la situation actuelle avec les ccTLD donne des TLD pour des petits territoires comme le territoire des taaf qui ne l'utilise même pas pour son site officiel. Par contre elle ignore les grandes régions, ou les subdivisions des états fédéraux.

Le .mobi est l'un des derniers nouveaux sTLD qui semble comme les autres s'ouvrir à tous. Il va peut-être tuer dans l’œuf le projet du .tel prévu en 2007.

Le .eu est considéré par l'IANA comme un ccTLD. Il est actuellement le seul TLD à l'échelle d'un continent, au détail près qu'il s'agit bien de la communauté Européenne et non l'Europe en tant que telle. D'autres auteurs espèrent créer des TLD à l'échelle du continent ou de large communauté.

Les ouvertures prévues en 2007[modifier | modifier le wikicode]

Le .tel accepté par l'ICANN en mai 2006 sera lancé en 2007. Le site officiel est http://www.telname.com.

Le .asia est le TLD pour l'Asie. Ce projet est très intéressant car il s'agira du second TLD au niveau d'un continent. Mais contrairement au .eu, il n'y a pas d'organisation de type étatique comme la communauté européenne. Le siège prévu du gestionnaire se trouve à Hong-Kong. Le second intérêt est la volonté d'utiliser à large échelle les IDN (nom de domaines internationalisé), dans une zone géographique très favorable à son utilisation.

Les TLD en projet[modifier | modifier le wikicode]

  • projets bien avancés
    • .berlin
  • projets à l'état d'ébauche
    • .bzh projet à l'état d'ébauche mais commence à
    • et bien d'autres (.gal .sco)

Le projet d'un TLD au niveau d'une ville n'est pas illogique. En effet de TLD au niveau des villes existent déjà pour les cités-état comme Hong-Kong, Singapour car elles bénéficient d'un ccTLD. De plus, le phénomène de ccTLD "markétés" c'est à dire des ccTLD détournés de leur usage initial en ajoute quelques uns comme le .la pour Los Angeles (mais aussi le Laos).

Notons enfin le rejet régulier du .xxx pour l'industrie pornographique sous la pression du gouvernement des Etats-Unis d'Amérique.

L'avenir[modifier | modifier le wikicode]

On peut imaginer à l'avenir des TLD à tous les niveaux géographiques : continent, pays, région et ville.

Niveau géographique TLD actifs TLD en projet
Continent ccTLD .eu sTLD .asia
Pays ccTLD classiques
Région sTLD .cat .sco (Ecosse), .cym (Pays de Galle), .bzh (Bretagne)
Ville ccTLD des cités etat (.hk .sg) ccTLD markété .la .berlin .london .nyc .tokyo

Les sLD[modifier | modifier le wikicode]

sLD signifie domaine de second niveau. Ce sont les domaines définis sous les TLD. On prendre par exemple le ".asso" existant sous le ".fr". Le domaine complet de mon association sera donc "monassociation.asso.fr".

Selon les choix des acteurs appelés souvent registre en français ou registry en anglais, l'utilisation des sLD est soit imposée soit possible. Ou bien encore la notion de sLD est complètement inexistante.

sLD imposés[modifier | modifier le wikicode]

Pour les registres des ".uk" pour le Royaume-Uni et ".au" pour l'Australie, l'utilisation des sLD est imposée. Donc le nom de domaine de ma société internationale sera pour ces pays "magrandesociete.co.uk" et "magrandesociete.com.au".

sLD proposés[modifier | modifier le wikicode]

Deux exemples

  • .fr avec les .asso.fr .presse.fr
  • .us voir le RFC 1480 (juin 1993)

Dans ce cas le l'utilisation des sLD tend à stagner voir diminuer. le RFC 1480 proposait un sLD par états ou territoire membre des États-Unis. Par exemple pour la Californie, il propose le sLD ".ca" soit le domaine ".ca.us". Dans la pratique, ces sLD sont presque tous abandonnés.

sLD inexistants[modifier | modifier le wikicode]

C'est le cas du ".com". Le nom de ma grande société sera "magrandesociete.com". Le TLD ".com" est le TLD le plus peuplé. Il contient plus presque 50 millions de noms de domaine. Cette situation montre que le DNS pour des raisons commerciales s’éloigne de son modèle initiale hiérarchique.

Il faut remarquer un mouvement progressif vers la suppression de ces sLD. En mai 2006, le registre de la Corée du Sud a annoncé la suppression des sLD sous le le "kr".

Les acteurs du monde du DNS[modifier | modifier le wikicode]

  • L'ICANN
  • Registry ou en français registre (ex AFNIC EURID)
  • Registrar (exemple GANDI)
  • Registrant (le client)

La distinction entre registre et registrar est apparu vers 1999. Cette distinction sépare la partie technique de la partie commerciale et évite de placer les registres en situation de monopole.

Les registres[modifier | modifier le wikicode]

Les termes de registre, de registry et de NIC sont synonymes. Ils représentent des organismes gérant les TLD. Ce sont soit des organismes de recherche, soit des associations à but non lucratif, soit des sociétés commerciales.

Par exemple en France, le registre du domaine fr était d'abord un service de l'INRIA un organisme de recherche très reconnu dans le monde informatique. Maintenant, l'AFNIC association loi 1901 a repris la gestion du ccTLD ".fr". Par contre le ".tf" pour les "Terres Australes et Antarctiques françaises" étaient géré par la société commerciale AdamsNames. À la demande du gouvernement français ce ccTLD est passé sous la responsabilité de l'AFNIC (1994 voir le document de l'IANA http://www.iana.org/reports/tf-report-05aug05.pdf).

On distingue deux types de politique parmi les registres, des politiques restrictives et des politiques libérales. Ainsi, la politique du registre .com a une politique très libérale qui se traduit par "premier arrivé premier servi". Par contre les registres des ccTLD choisissent ou plutôt choisissaient des politiques restreintes. Ainsi un nom dans le domaine du .fr étaient très lié à la France. Progressivement les politiques se libéralisent. Un exemple récent est l'ouverture aux particuliers du domaine fr (juin 2006).

L'AFNIC[modifier | modifier le wikicode]

L'AFNIC (http://www.afnic.fr) est une association loi 1901 qui gère le .fr et le .re. Elle est en charge d'autres ccTLD liés au DOM-TOM français : tf, wf, pm et yt même si seul le tf est réellement "peuplé". Elle fournit de nombreuses documentations concernant le DNS en français.

Remarque : pour vérifier que l'AFNIC gère bien un tld, on peut regarder la base Whois de l'IANA. Mais on peut utiliser également la commande dig SOA tld. comme par exemple :

dig SOA yt.
; <<>> DiG 9.3.2 <<>> @192.168.1.1 SOA yt.
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 966
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;yt. IN SOA

;; ANSWER SECTION:
yt. 172780 IN SOA nsmaster.nic.fr. hostmaster.nic.
fr. 2006022800 3600 1800 3600000 5400

;; Query time: 1625 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Tue Jun 27 21:44:14 2006
;; MSG SIZE rcvd: 82

nic.fr = AFNIC ...

On peut retrouver le rapport d'activité de l'association sur son site http://www.afnic.fr/afnic/presentation/activite. Elle emploie 40 personnes et gère un budget 4,5 millions d'euros. Elle ne touche que très peu de subventions.

L'actualité récente de l'AFNIC est l'ouverture aux particuliers du .fr fin juin 2006. Pour cette opération, l'AFNIC a ouvert un nouveau site qui apparaît beaucoup moins "sérieux" que son site officiel : http://www.faites-vous-un-nom.fr/. Un autre site effectue le suivi technique de cette ouverture http://open.nic.fr/. Il est encore trop tôt à l'heure actuelle pour voir le succès de cette opération.

L'EURID[modifier | modifier le wikicode]

L'EURID est l'association qui gère le .eu le nouveau ccTLD pour l'Union Européenne.

Whois et IRIS[modifier | modifier le wikicode]

Présentation de Whois[modifier | modifier le wikicode]

Whois = Who is (qui est-ce ?). Ce protocole donne les correspondants techniques et administratifs associés à nom de domaine

IRIS le successeur d'IRIS[modifier | modifier le wikicode]

IRIS est décrit dans le RFC 3981 et son application au registre (ou registry en anglais) est décrit dans le RFC 3982

Un blog concernant IRIS avec un exemple d'application http://iris.verisignlabs.com/blojsom/blog/iris/about/

Les racines alternatives[modifier | modifier le wikicode]

Plusieurs raisons :

  • Raisons idéologiques
  • Raisons commerciales

Expériences terminées :

  • Alternic (arrêté en 1997)
  • eDNS (arrêté en 1998)