Comment fonctionne la résolution DNS — récursif vs autoritaire ?
Réponse courte
Un résolveur stub demande un nom à un résolveur récursif. S'il n'est pas en cache, le résolveur récursif parcourt la hiérarchie : il interroge un serveur racine (qui pointe vers le TLD), le serveur TLD (qui pointe vers les serveurs autoritaires du domaine) et enfin le serveur autoritaire, qui détient l'enregistrement réel. La réponse est mise en cache en chemin selon son TTL. Le DNS utilise le port 53 — UDP pour la plupart des requêtes, TCP pour les volumineuses.
Le DNS transforme des noms lisibles par l'humain en adresses IP, et il le fait au moyen d'une recherche distribuée et hiérarchique qu'aucun serveur seul ne pourrait satisfaire. Comprendre la distinction récursif/autoritaire est au cœur de la question.
Le parcours de résolution
- Le résolveur stub de votre appareil interroge son résolveur récursif configuré (souvent celui de votre FAI ou un public comme 1.1.1.1) pour
www.example.com. - Si le résolveur récursif n'a pas la réponse en cache, il commence par le sommet. Il interroge un serveur racine, qui ne connaît pas l'IP mais répond « demandez aux serveurs TLD
.com». - Il interroge un serveur TLD
.com, qui répond « demandez aux serveurs de noms autoritaires d'example.com ». - Il interroge le serveur autoritaire d'example.com, qui détient réellement la zone et renvoie l'enregistrement A/AAAA.
- Le résolveur récursif met la réponse en cache pour son TTL et la renvoie à votre appareil.
Récursif vs autoritaire
Un résolveur récursif fait le travail pour le compte du client, suit les renvois et met en cache les résultats. Un serveur autoritaire est la source de vérité pour une zone particulière — il répond de façon définitive pour les domaines dont il est responsable et ne va jamais interroger ailleurs.
Ports et transport
Le DNS fonctionne sur le port 53, utilisant UDP pour les petites requêtes typiques (rapide, sans poignée de main) et basculant vers TCP lorsqu'une réponse est trop grande pour un seul datagramme ou pour les transferts de zone.
Sécurité
Comme le DNS classique n'est pas authentifié, il est vulnérable à l'empoisonnement du cache — l'injection de fausses réponses. DNSSEC signe les enregistrements afin que les résolveurs puissent vérifier leur authenticité ; DoH/DoT chiffrent la requête en transit.
Les recruteurs attendent la chaîne racine→TLD→autoritaire, la distinction récursif/autoritaire, le port 53, et idéalement un mot sur la mise en cache ou l'empoisonnement.
Questions de suivi probables
- Quelle est la différence entre un résolveur récursif et un serveur autoritaire ?
- Comment fonctionne l'empoisonnement du cache DNS et comment DNSSEC l'atténue-t-il ?
- Quand le DNS bascule-t-il d'UDP vers TCP ?