Vendredi 18 Avril 2025
Rechercher 🔍

Transfert de zone DNS - Définition

Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.
- Introduction - Fonctionnement - Problèmes opérationnels

Introduction

Le transfert de zone DNS également connu de son opcode mnémotechnique AXFR, est un type de transaction DNS. C'est l'un des nombreux mécanisme disponible pour répliquer les bases de données distribuées contenant les données DNS au travers d'un ensemble de serveurs DNS. Le transfert de zone peut être effectué de deux manières différentes : le transfert de zone complet (AXFR) ou le transfert de zone incrémental (IXFR). Quasi universel à un moment, il périclite au profit d'autres mécanismes de réplication de bases de données fournis par les systèmes DNS modernes.

Fonctionnement

Fonctionnement AXFR (transfert complet)

Le transfert de zone fonctionne sur une transaction en mode Client serveur au dessus de TCP. Il y a le client (l'esclave ou slave) qui requiert les informations d'une partie de la base de donnée distribuée (zone) auprès d'un serveur (le maître ou master) qui les fournit (RFC 2136). Il y a toujours un serveur primaire maître par zone. Ces définitions sont complémentaires avec celles de la RFC 1035 (primaire et secondaire).

Le transfert de zone débute par la vérification de l'enregistrement DNS SOA de la zone considérée dont quatre paramètres sont presque exclusivement dédiés au processus du transfert de zone :

  • le numéro de série (ou serial number) détermine la version des données,
  • la période de rafraichissement (ou refresh) qui détermine le temps en secondes au bout duquel le serveur esclave interroge de nouveau le maître,
  • la période de tentatives de rafraichissement (ou retry) qui détermine le temps en secondes au bout duquel le serveur esclave interroge de nouveau le maître après l'échec d'un transfert de zone,
  • le temps de péremption (ou expire) qui détermine le temps au bout duquel le serveur esclave doit considérer les données périmées en cas d'échecs successifs de transfert de zone (le serveur esclave ne résout plus les noms de domaine de la zone).

Durant cette vérification, si le numéro de série (la version) de la zone du maître est identique (ou plus petit) à celui de la dernière copie de la zone en possession de l'esclave, le transfert s'arrête car aucun changement n'a eu lieu. Si cette version est plus récente (numéro de série de la zone du maître plus grand que celui de la copie de zone de l'esclave), l'esclave effectue la demande de transfert de zone en tant que telle.

Le transfert de zone proprement dit débute par l'envoi d'une requête DNS (opcode 0) par le client avec un QTYPE (type de requête ou query type) correspondant à AXFR (valeur 252) sur une connexion TCP vers le serveur maître. Le serveur répond avec une série de messages de réponse contenant l'ensemble des ressources enregistrées (RRdata) de la zone. La première réponse comprend l'enregistrement SOA de la zone, les autres enregistrement suivent sans ordre prédéfini. La fin du transfert est spécifié par un nouvel envoi de l'enregistrement SOA.

Certains clients de transfert de zone utilisent leur client de résolution standard pour effectuer une requête SOA avant un transfert de zone (protocole UDP). Ces clients n'ouvrent pas de connexion TCP sur le serveur jusqu'à ce qu'un transfert de zone soit nécessaire. Quoi qu'il en soit, si TCP peut indifféremment être utilisé comme protocole pour procéder à une transaction DNS normale comme un transfert de zone, d'autres clients de transfert de zone peuvent effectuer la première requête SOA puis le transfert de zone dans une même connexion TCP. Ces clients ouvrent systématiquement une connexion TCP sur le serveur maître pour la requête SOA préliminaire au transfert de zone.

Fonctionnement IXFR (transfert incrémental)

Le transfert de zone incrémental ne diffère du transfert de zone complet que sur les points suivants :

  • l'esclave utilise le QTYPE IXFR (valeur 251) à la place du QTYPE AXFR et précise au serveur la version (le numéro de série) de la zone qu'il pense être le bon (celui qu'il vient de récupérer dans la requête SOA préalable),
  • l'esclave renvoi au maître l'entrée SOA de la copie de la zone qu'il détiens,
  • le serveur maître peut alors répondre suivant le protocole AXFR et transfert la zone complète comme décrit précédemment ou suivant le protocole incrémental IXFR. Ce dernier comprend la liste des modifications des ressources enregistrées de la zone (RRdata) dans l'ordre des numéros de série (des versions) successifs entre le numéro de série de la dernière zone détenue par l'esclave et celle actuellement détenue par le maître. Les modifications comprennes deux listes, une pour les enregistrements à supprimer, puis l'autre pour ceux à insérer.

Fonctionnement NOTIFY

Un transfert de zone est entièrement à l'initiative de l'esclave. Celui-ci les planifie les transfert de zone, d'abord lorsqu'il n'a aucun enregistrement pour la zone (zone vide), puis à intervalles réguliers suivant les valeurs refresh, retry et expire spécifiées dans l'enregistrement SOA de la zone.

Cependant, certain serveurs maître peuvent envoyer un message NOTIFY aux serveurs esclaves déclarés et provoquer un transfert de zone en dehors de périodes planifiées par l'esclave dés que le serveur maître détecte une modification du numéro de série de la zone après un redémarrage ou un rechargement.

Sécurité

L'utilisation de TSIG (RFC 2845) permet d'authentifier l'échange maître - esclave et d'assurer l'intégrité des données récupérées par le serveur esclave. Ce mécanisme permet au responsable d'une zone de s'assurer que les données fournies par le serveur esclave proviennent bien du bon serveur maître et qu'elles n'ont pas été altérées par un tiers lors de l'échange.

L'implémentation DNS BIND permet l'utilisation de ce mécanisme.

Problèmes opérationnels
- Introduction - Fonctionnement - Problèmes opérationnels
miniature
Le trou noir supermassif Ansky vient de se réveiller ⚫
miniature
Voici ce qui rend notre cerveau vraiment unique 🧠
miniature
Asymétrie matière-antimatière: une nouvelle pièce du puzzle dévoilée 🧩
miniature
Neige en inuit, goût en japonais... comment les langues décomposent la réalité ? 💬
miniature
La physique révèle les secrets d'un strike parfait au bowling 🎳
miniature
Le TDAH associé à la démence 🧠
miniature
Découverte d'une nouvelle forme d'intrication quantique, une première en 20 ans ⚛️
miniature
Le régime cétogène montre des surprises sur le cholestérol 🧐
miniature
Un tango observationnel révèle une Super-Terre 🔭
miniature
Cette expérience montre que la graisse brune augmente fortement la longévité 🕒
miniature
1
L'Univers comme jamais vu auparavant: les révélations du fond diffus cosmologique 🔭
miniature
C'est sérieux: de la bave pourrait révolutionner la conception de bioplastiques 🪱
miniature
Découverte: le trou noir central de notre galaxie pourrait anéantir la vie sur Terre 💥
miniature
Etude scientifique: ces aliments nous font vieillir 🍽️
miniature
Pourquoi notre visage est-il plus petit et délicat que celui des Néandertaliens ? 🤔
miniature
A 18 ans, il découvre 1,5 million d'objets célestes inconnus avec son algorithme d'IA 🌟
miniature
Que sont ces objets rouges et aplatis, qualifiés d'UFOs par les astronomes ? 🔭
miniature
1
Une méthode simple pour améliorer les performances en mathématiques 🧮
miniature
Que sont ces étranges éclairs rouges photographiés au-dessus de l'Himalaya ? ⚡
miniature
Nous descendons non pas d'un, mais d'au moins deux groupes anciens 🧬
miniature
Un nuage géant de 160 000 soleils découvert dans notre Voie lactée 🔭
miniature
Connaissez-vous le rat-kangourou musqué, ce marsupial à la démarche unique ? 🦘
miniature
Comment une poignée de traders a fait s'effondrer deux cryptomonnaies 📉
miniature
Première cartographie titanesque d'un cerveau, avec 500 millions de connexions neuronales 🧠
miniature
Cette double supernovae proche est inexorable, voici la date... qui va vous surprendre 💥
miniature
Un océan phosphorescent: comment s'explique ce phénomène rare et féerique ? 🌊
miniature
L'ELT pourrait-il découvrir une vie extraterrestre dès 2028 ? 🔭
miniature
Cet édulcorant tue les superbactéries résistantes 🍬
miniature
Les neutrinos, la clé de la gravité quantique ? 👀
miniature
En Italie, les éruptions explosives de ce volcan déjouent les pronostics 🌋
miniature
Que sont ces spaghettis au cœur de notre galaxie ? 🔭
miniature
Des scientifiques ont créé une "bombe intelligente" contre le cancer 🎯
miniature
Les nanoplastiques, l'amiante du 21ème siècle ? 🔬
miniature
Compétition cellulaire: des forces sculptent nos tissus 🛠️
miniature
Le climat en Europe et au États-Unis pourrait changer bien plus radicalement que supposé 🌍
miniature
Découverte: ce dinosaure avait des poches d'air dans les os 🦴
miniature
La vie sur Titan, si elle existe, ressemblerait à quoi ? 🪐
miniature
Magnétisme et biologie s'allient contre le cancer 🧲
miniature
WR 104: on en sait plus sur cette "étoile de la mort" qui menace la Terre ☄️
miniature
Découverte: des bactéries respiraient de l'oxygène 1 milliard d'années avant la Grande Oxydation 🫧
miniature
Découverte d'un nouveau type de vent solaire rapide ☀️
miniature
Les dinosaures n'étaient pas en déclin avant l'astéroïde 🦖
miniature
Ce robot-cheval est véritablement tout-terrain 🐎
miniature
Comment un mauvais sommeil peut endommager votre cerveau ? 🧠
miniature
Découverte de microbes cachés qui purifient l'eau sans que nous le sachions 💧
miniature
Bonne nouvelle pour les enfants de la Lune 🌙
miniature
Du CO2 détecté dans l'atmosphère d'une exoplanète proche 🔭
miniature
Le café et le thé impactent le cancer, mais dans quel sens ? ☕
miniature
Une IA révèle des bulles cosmiques dans notre galaxie 🫧
miniature
Lorsque l'alcool stimule ses phéromones sexuelles et rend plus séduisant 🍷
Page générée en 0.072 seconde(s) - site hébergé chez Contabo
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
A propos - Informations légales
Version anglaise | Version allemande | Version espagnole | Version portugaise