DNS - Pourquoi changer de DNS - certains serveurs DNS sont plus rapides que d'autres, ne traquent pas les internautes et respectent la neutralité de l'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les serveurs DNS sont, eux aussi, des machines avec des adresses IP, de la forme xxx.xxx.xxx.xxx (en IPV4), dans le réseau Internet.

Généralement, c'est votre FAI (Fournisseurs d'Accès Internet) qui fournit automatiquement aux particuliers l'adresse IP d'un serveur de résolution de noms de domaine, appelé "Serveur DNS", (ainsi qu'une seconde adresse IP pour un serveur DNS de secours si le serveur préférentiel n'est pas accessible (panne ou surcharge)).

L'utilisateur n'a rien à faire et son ordinateur (le système d'exploitation) détecte automatiquement les adresses IPs des serveurs DNS à utiliser.

Alors..., pourquoi changer de serveurs DNS ?

Parce qu'il en existent de très nombreux, qui sont plus ou moins performants, et qui appartiennent à diverses entités (dont les FAI (Fournisseurs d'Accès Internet)), qui ne les gèrent pas tous de la même manière.

On peut vouloir changer de serveurs DNS pour quatre raisons :

• Vitesse
  Certains serveurs DNS sont tout simplement plus rapides que d'autres, moins chargés etc. ... La proximité géographique est l'un des critères de vitesse.
  
  Vous pouvez vouloir changer de serveurs DNS pour cette question de vitesse, encore que cela soit totalement marginal, insignifiant, indétectable, dans la vitesse de navigation.
  
  La vitesse sera gagnée exclusivement sur le temps que va mettre le serveur DNS à vous répondre (à " résoudre " le " Nom de domaine " et vous donner l'adresse IP de la machine sur laquelle est hébergé le domaine (le site) que vous cherchez à joindre), au moment de votre première requête vers ce domaine (ce site). Plus aucune autre requête DNS n'est faite pour ce nom de domaine.
  
  Vous ne gagnerez que quelques millisecondes, une seule fois par requête vers un nouveau domaine. Les requêtes vers un domaine déjà visité (résolues) se serviront de la résolution déjà effectuée et conservée dans le " cache DNS " de votre ordinateur durant 24 heures (il y a même un cache DNS encore plus rapide dans le navigateur Web lui-même, qui conserve les résolutions de noms de domaines durant quelques minutes).
  
  Pour voir sa vitesse (son temps de réponse), faire un DIG sur un serveur DNS
  DIG ?
  
  
• Vitesse de mise à jour de la base de données mondiale des domaines
  Le critère de vitesse de mise à jour de la base de données peut être un peu plus significatif. Ceci n'intervient que lors de la création d'un nouveau domaine, ou de sa suppression ou de son déplacement d'un serveur à un autre. Les mises à jour se font au niveau de la délégation locale, ou sa sous-délégation, qui gère une partie des DNS sur une zone donnée (par exemple, Gandi en France) ou au niveau de l'hébergeur. Une fois une modification faite, elle doit se propager à travers tous les mirroirs DNS de la planète, ce qui peut prendre de 24 à 48 heures. Cette propagation se fait de manière automatique et il est difficile de déterminer si un serveur DNS est plus rapidement mis à jour que d'autres - cela peut totalement varier selon les pays, les délégations, etc. ...
• Filtration ou Exhaustivité
  Parce que certains serveurs DNS sont filtrants (Filtration de type Contrôle parental, filtration des sites connus pour être malveillants, filtration des sites connus pour être des sites de phishing, filtration des sites pour adultes, etc. ...)
  
  
• Sincérité / censure (neutralité du Web sur l'Internet)
  

  Chaque fournisseur d'un service de résolution de noms de domaine (par exemple, en France métropolitaine, Orange, Free, SFR, Bouygues Telecom et une nébuleuse comme DartyBox, NordNet, OVH, Prixtel, Budget Telecom, Vivéole, Numericable, Auchan Telecom, FDN, Nerim, Magic OnLine...) peut ne pas disposer de l'image complète des paires "Noms de domaine <> adresses IPs" du monde. Les raisons sont diverses, dont la censure de l'Internet. Un FAI (Fournisseurs d'Accès Internet) peut bloquer des noms de domaine pour des raisons qui le regarde (sauvegarde de la bande passante, morale, politique...) ou par obligations que certains lui imposent, comme les gouvernements.

  Certains opérateurs de serveurs DNS pratiquent une censure (par choix personnel ou sur décision d'un gouvernement) alors que d'autres non et sont plus exhaustifs...
  
  
  • Censure technique : on a vu, début 2004, certains FAI bloquer les accès, au niveau de leurs serveurs DNS, aux machines de ZoneLabs, l'éditeur du firewall ZoneAlarm, car ce logiciel avait, un temps, un comportement générant des quantités invraisemblables de requêtes aux serveurs DNS
    
  • Censure abusive : blocage de domaines contraires aux convictions ou aux intérêts du propriétaire des serveurs DNS etc. ... On peut imaginer des DNS d'un FAI, sous influence du gang maffieux de la Scientologie, pratiquer le blocage des sites dénonçant la scientologie et ses crimes. Ce fournisseur d'accès, pour une raison ou pour une autre, peut prendre l'initiative de ne pas assurer l'accès à certains sites. Au lieu de diriger un domaine vers sa machine il la dirige vers un trou noir (principe de hosts bloquant des domaines en les renvoyant vers "moi-même" - adresse 127.0.0.1 - ceci est discuté avec le principe des listes hosts pour se protéger des sites hostiles ou faire du contrôle parental). Il pratique une censure !
    
  • Usurpation pure et simple : Les domaines que vous cherchez à joindre sont redirigés vers des domaines similaires mais servant les intérêts du propriétaire des DNS. Vous pouvez découvrir que le domaine Tartempion.com, qui se trouve normalement sur la machine 111.222.333.444, est dirigé vers un site se trouvant sur le serveur 555.666.777.888. Ce sont les "DNS menteurs".
    
  • Certains gangs maffieux dans le e-commerce et dans le spam sont tellement puissants qu'ils sont leurs propres "registrar" (autorités déléguées d'attribution d'adresses et de domaine auprès desquelles on peut acheter un "nom de domaine" - Ce sont des entités officielles de la hiérarchie qui gouverne le Net). Certains registrar sont maffieux. Ils ont leurs propres serveurs DNS. Vos adresses de DNS, paramétrées dans votre ordinateur, peuvent avoir été manipulées par une malveillance qui vous dirige, désormais, vers des DNS maffieux qui interceptent tous les noms de domaine vers lesquels vous vous dirigez pour en substituer certains à d'autres, des sites marchands évidemment, et avec lesquels ils ont des liens d'affiliation lorsque ce ne sont pas leurs propres commerces. Ils gèrent des millions de machines et de sites "bidons" totalement inféodés. Les gros spammeurs font partie de ces gangs. Vous devez donc rétablir vos connexions vers des DNS sains.
    

Généralement, les serveurs DNS d'un FAI (Fournisseur d'Accès Internet) sont privés et réservés à ses clients, toutefois, certains laissent libre accès à leurs DNS (probablement pour des raisons de tracking, ce levier sur les revenus publicitaires du Web).

Vous pouvez choisir les serveurs DNS que vous souhaitez utiliser et les désigner vous-mêmes dans les paramètres de votre connexion.

Un exemple de manipulation pour regarder quels sont vos DNS actuels et, éventuellement, en changer, est donné dans cet exemple : Comment changer de DNS pour utiliser les DNS de Google ? Ce sera la même manipulation avec n'importe quelle adresses de DNS de votre choix.