Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  01.06.2024      r-  15.07.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Logiciels serveur DNS

Chacun de ces logiciels serveur DNS est une implémentation indépendante des protocoles DNS, capable de résoudre les noms DNS d'autres ordinateurs, de publier les noms DNS des ordinateurs, ou les deux. Les outils DNS à fonctionnalité unique (tels que les proxys, les filtres et les pare-feu) et les redistributions des serveurs répertoriés ici (de nombreux produits reconditionnent BIND, par exemple, avec des interfaces utilisateur propriétaires) sont exclus.

Les serveurs DNS sont regroupés en plusieurs catégories de spécialisation des requêtes de système de nom de domaine. Les deux rôles principaux, qui peuvent être implémentés de manière unique ou combinés dans un produit donné sont :

  1. Serveur faisant autorité: les serveurs de noms faisant autorité publient des mappages DNS pour les domaines sous leur contrôle faisant autorité. En règle générale, une société (par exemple, "Acme Example Widgets") fournit ses propres services d'autorité pour répondre aux requêtes d'adresse ou pour d'autres informations DNS, à l'adresse www.example.int. Ces serveurs sont répertoriés comme étant au sommet de la chaîne d'autorité pour leurs domaines respectifs et sont capables de fournir une réponse définitive. Les serveurs de noms faisant autorité peuvent être des serveurs de noms primaires, également appelés serveurs maîtres, c'est-à-dire qu'ils contiennent le jeu de données d'origine, ou bien des serveurs de noms secondaires ou esclaves, contenant des copies de données généralement obtenues à partir de la synchronisation directement avec le serveur maître, Mécanisme DNS ou par d'autres mécanismes de synchronisation du magasin de données.

  2. Serveurs récursifs: les serveurs récursifs (parfois appelés "caches DNS", "serveurs de noms réservés à la mise en cache") permettent la résolution de noms DNS pour les applications en relayant les demandes de l'application cliente à la chaîne de serveurs de noms faisant autorité pour résoudre entièrement un nom de réseau. Ils mettent également (généralement) en mémoire cache le résultat afin de répondre aux futures requêtes éventuelles au cours d'une certaine période d'expiration (durée de vie). La plupart des utilisateurs Internet accèdent à un serveur récursif fourni par leur fournisseur de services Internet pour localiser des hôtes Internet tels que www.example.com.

Liste des logiciels serveur de DNS

Source : Wikipedia




AnswerX est le résolveur DNS récursif d'Akamai (rDNS). Il a évolué depuis l'acquisition de Xerocole. AnswerX est un résolveur moderne, prenant en charge DNSSEC, IPv6 et des contrôles de stratégie intégraux pour les abonnés. Il peut être utilisé pour la fonctionnalité de pare-feu DNS, une journalisation étendue et une plate-forme pour la création de service. AnswerX est vendu comme un logiciel fonctionnant sur des serveurs communs (pas de matériel spécialisé). Le logiciel est conçu pour traiter des millions de transactions par seconde sur du matériel standard.

Avis et alertes de sécurité sur le produit AnswerX, au jour le jour.




BIND est le logiciel serveur DNS standard de facto. Il s'agit d'un produit logiciel gratuit distribué avec la plupart des plates-formes Unix et Linux, où il est le plus souvent désigné par l'appellation named (name daemon). C'est le serveur DNS le plus largement déployé. Il est encore utilisé dans plus de 50% des serveurs DNS du monde et il équipe 12 des 13 serveurs racines. Historiquement, BIND a subi trois révisions majeures, chacune avec des architectures très différentes: BIND4, BIND8 et BIND9. BIND4 et BIND8 sont maintenant techniquement obsolètes et ne sont pas pris en compte dans cet article. BIND9 est une réécriture de complète (de zéro) de BIND comportant un support DNSSEC complet en plus d'autres fonctionnalités et améliorations.

Internet Systems Consortium a entamé le développement d'une nouvelle version, BIND 10. Sa première publication a eu lieu en avril 2010, mais la participation de ISC s'est achevée avec la publication de BIND 10 version 1.2 en avril 2014. ISC a cité un manque de ressources pour poursuivre le développement de BIND 10 et ils ont réaffirmé leur engagement sur BIND9.

Le code BIND 10 continue en tant que projet open source à l'adresse http://bundy-dns.de/ (ibid.). Elle n'est pas incluse dans cette comparaison pour le moment.

Avis et alertes de sécurité sur ISC (Internet Systems Consortium) BIND, au jour le jour.




CNR inclut un serveur DNS commercial de Cisco Systems généralement utilisé avec le serveur CNR DHCP (Dynamic Host Configuration Protocol). Il supporte des taux élevés de mise à jour dynamique.

Avis et alertes de sécurité sur les produits CISCO, au jour le jour.




Dnsmasq est un redirecteur DNS léger, facile à configurer, conçu pour fournir des services DNS (et éventuellement DHCP et TFTP) à un réseau à petite échelle. Il peut servir les noms de machines locales qui ne figurent pas dans le DNS global.

Dnsmasq accepte les requêtes DNS et y répond à partir d'un petit cache local ou les transmet à un serveur DNS réel et récursif. Il charge le contenu de /etc/hosts afin que les noms d'hôte locaux qui ne figurent pas dans le DNS global puissent être résolus.

Avis et alertes de sécurité sur le produit Dnsmasq, au jour le jour.

Changelog de Dnsmasq par son auteur, thekelleys.org.uk.




Djbdns est un ensemble d'applications DNS, y compris tinydns, qui était le deuxième serveur DNS de logiciels libres le plus utilisé en 2004. Il a été conçu par Daniel J. Bernstein, auteur de qmail, en mettant l'accent sur les considérations de sécurité. En mars 2009, Bernstein a versé 1 000 dollars à la première personne à trouver une faille de sécurité à Djbdns. Le code source n'est pas géré de manière centralisée et a été publié dans le domaine public en 2007. En mars 2009, il existait trois forks et plus d'une douzaine de correctifs permettant d'ajouter des fonctionnalités supplémentaires à djbdns.

Avis et alertes de sécurité sur le produit djbdns, au jour le jour.




gdnsd est un logiciel serveur DNS autoritaire sous licence GPL3 écrit en C utilisant libev et des pthreads avec un accent mis sur le service hautes performances et à faible latence. Il n'offre aucune forme de mise en cache ou de service récursif et ne prend pas en charge DNSSEC. Le premier "g" signifie Géographique, car gdnsd propose un système de plug-in pour l'équilibrage géographique (ou autre) de l'équilibrage, de la redirection et du basculement en fonction de l'état de service.

Avis et alertes de sécurité sur le produit gdnsd, au jour le jour.




Knot DNS est un logiciel serveur DNS libre faisant autorité, développé par CZ.NIC. Knot DNS se veut un serveur DNS résilient, rapide et utilisable pour l'infrastructure (racine et TLD) et les services d'hébergement DNS. Knot DNS prend en charge la signature DNSSEC et, entre autres, la zone racine des hôtes (K et L Root_name_servers), plusieurs domaines de premier niveau.

Avis et alertes de sécurité sur le produit Knot, au jour le jour.




MaraDNS est un logiciel serveur DNS gratuit de Sam Trenholme qui revendique un bon historique de sécurité et une facilité d'utilisation. Afin de modifier les enregistrements DNS, MaraDNS doit être redémarré. Comme djbdns dnscache, le résolveur récursif autonome MaraDNS 2.0 ("Deadwood") n'utilise pas de threads.

Avis et alertes de sécurité sur le produit MaraDNS, au jour le jour.




Composant Windows DNS Server de Microsoft DNS. Le même logiciel peut être configuré pour prendre en charge les modes autoritaire, récursif et hybride. Le logiciel est intégré à Active Directory, ce qui en fait le logiciel DNS par défaut pour de nombreux réseaux d'entreprise basés sur Active Directory. Il permet également de créer des zones à l'aide du fichier de zone DNS standard. Le logiciel est fourni avec un rôle dans Windows Server. Le logiciel serveur est livré avec une interface cmdline dnscmd, un assistant d'interface graphique de gestion DNS et un package DNS PowerShell. Dans Windows Server 2012, le DNS Windows ajoutait la prise en charge de DNSSEC, avec une signature en ligne complète, avec une prise en charge de DNS dynamique et NSEC3, ainsi que des algorithmes de signature RSASHA et ECDSA. Il fournit un fournisseur de stockage de clés intégré et prend en charge tout fournisseur de stockage de clés conforme au GNC. L'interface utilisateur et la prise en charge de PowerShell pour la gestion des serveurs DNS et DNSSEC ont également été améliorées. Dans Windows Server 2016, le serveur DNS prend en charge les stratégies DNS à l'aide desquelles les administrateurs peuvent avoir davantage de contrôle sur le processus de résolution de noms.

Avis et alertes de sécurité sur le produit Microsoft DNS, au jour le jour.




ANS est un logiciel serveur commercial faisant autorité de Nominum, société dont le scientifique principal et président est Paul Mockapetris, l'inventeur du DNS. ANS a été conçu pour répondre aux besoins des serveurs de domaine de premier niveau, des hébergeurs et des grandes entreprises.

Avis et alertes de sécurité sur le produit Nominum Authoritative Name Server, au jour le jour.




Vantio est un logiciel serveur commercial de mise en cache récursif hautes performances de Nominum, conçu comme une alternative rapide et sécurisée à BIND pour les fournisseurs de services, les entreprises et les agences gouvernementales.

Avis et alertes de sécurité sur le produit Nominum Vantio and CacheServe, au jour le jour.




NSD est un logiciel serveur DNS libre faisant autorité, fourni par NLNet Labs. NSD est un serveur de banc d'essai pour DNSSEC. Les nouvelles fonctionnalités du protocole DNSSEC sont souvent prototypées à l'aide du code de base de NSD. NSD héberge plusieurs domaines de premier niveau et exploite trois des serveurs DNS racines.

Avis et alertes de sécurité sur le produit NSD, au jour le jour.




NxFilter est un logiciel serveur DNS de transmission et de mise en cache libre fourni par Jahastech. Il prend en charge le filtrage Web basé sur DNS. Il possède sa propre interface graphique basée sur le Web et fonctionne sous Windows, Linux, Mac OS, car il s'agit essentiellement d'un logiciel Java.

Avis et alertes de sécurité sur le produit NxFilter, au jour le jour.

Avis et alertes de sécurité sur le produit JAVA, au jour le jour.




Pdnsd est un logiciel serveur proxy DNS de mise en cache qui stocke les enregistrements DNS mis en cache sur le disque pour une conservation à long terme. Pdnsd est conçu pour être hautement adaptable aux situations où la connectivité Internet est lente, peu fiable, non disponible ou très dynamique, avec une capacité limitée d'agir en tant que serveur de noms faisant autorité. Il est sous licence GPL.

Avis et alertes de sécurité sur le produit pdnsd, au jour le jour.




Posadis est un logiciel serveur DNS gratuit, écrit en C++, prenant en charge la mise à jour DNS dynamique.

Avis et alertes de sécurité sur le produit Posadis, au jour le jour.




PowerDNS est un logiciel serveur DNS gratuit doté d'une variété de back-end de stockage de données et de fonctions d'équilibrage de la charge. Les fonctions de serveur faisant autorité et récursives sont implémentées en tant qu'applications séparées.

Avis et alertes de sécurité sur le produit PowerDNS, au jour le jour.




DNS Authority est un logiciel serveur de noms faisant autorité, commercial, de Secure64, société qui a créé les applications et le système d'exploitation DNS véritablement sécurisés et totalement automatisé le déploiement de DNSSEC.

Avis et alertes de sécurité sur le produit DNS Authority, au jour le jour.




DNS Cache est un logiciel DNS récursif évolutif et hautement sécurisé de Secure64, qui fournit une protection intégrée contre les attaques par déni de service à volume élevé, y compris les attaques PRSD (Pseudo Random Subom Domain).

Avis et alertes de sécurité sur le produit DNS Cache, au jour le jour.




Simple DNS Plus est un produit serveur DNS commercial qui fonctionne sous Microsoft Windows avec une interface graphique simple à utiliser. La maintenance du logiciel semble s'être ralentie ces dernières années.

Avis et alertes de sécurité sur le produit Simple DNS Plus, au jour le jour.




Unbound est un logiciel serveur DNS de validation, récursif et de mise en cache conçu pour des performances élevées. Il a été publié le 20 mai 2008 (version 1.0.0) en tant que logiciel libre sous licence BSD par NLnet Labs, Verisign Inc., Nominet et Kirei. Il est installé dans le système de base sous FreeBSD à partir de la version 10.0 et sous NetBSD avec la version 8.0. Une version est également disponible dans OpenBSD version 5.6 et ultérieures. (Les versions précédentes de FreeBSD sont fournies avec BIND.)

Avis et alertes de sécurité sur le produit Unbound, au jour le jour.




Domain Name Relay Daemon est un logiciel serveur proxy DNS de transfert et de mise en cache. Plus utile sur les pare-feu VPN ou d'accès distant, mais il s'agit également d'un cache DNS pour les réseaux et les postes de travail mineurs. Sous licence GPL.

Avis et alertes de sécurité sur le produit Domain Name Relay Daemon, au jour le jour.




YADIFA est un logiciel serveur DNS à mémoire efficace et sous licence BSD, écrit en C. l'acronyme YADIFA signifie « Yet Another DNS Implementation For All » (Encore une autre implémentation DNS pour tous). Il a été créé par EURid, qui exploite le domaine de premier niveau .eu.

Avis et alertes de sécurité sur le produit YADIFA, au jour le jour.




Yaku-NS est un serveur DNS faisant autorité, sous licence GPL, écrit en C, de faible encombrement et facile à configurer. Les fonctionnalités incluent le transfert vers plusieurs serveurs DNS externes, les règles ACL intégrées, la suppression des privilèges root, le blocage de la racine sous des systèmes unix et des ID DNS sécurisés pour empêcher la falsification DNS.

Avis et alertes de sécurité sur le produit Yaku-NS, au jour le jour.




Technitium DNS Server est un serveur open source écrit en C# à l'aide de .NET Standard 2.0 disponible sous licence GPLv3 et destiné à l'auto-hébergement dans des réseaux privés pour la confidentialité et la sécurité, ou l'ordinateur local par les développeurs de logiciels aux fins de tests et de recherches de logiciels locaux. Il prend en charge les protocoles DNS sur TLS et DNS sur HTTPS pour les expéditeurs. Il peut être utilisé sous Linux et macOS avec Mono Framework ou .NET Core.

Avis et alertes de sécurité sur le produit Technitium DNS Server, au jour le jour.




Pour information, des tentatives de faire « tomber » le WEB mondial en attaquant les serveurs DNS « racine » (attaques DDoS) ont eu lieu à plusieurs reprises. Elles ont toutes échoué (simples ralentissements), mais cela a permis à des états cybercriminels de sonder et mesurer la résistance du Web et de préparer la prochaine cyberguerre.

  1. Attaque du 21 octobre 2002

    Le 21 octobre 2002, la racine complète du DNS a fait l'objet d'une attaque de grande ampleur pendant une heure, les treize serveurs A à M étant visés. Pendant cette attaque, sept serveurs sur treize ont vu leurs performances dégradées en raison d'un flux de 100 000 à 200 000 requêtes par seconde vers chacun des serveurs. Toutefois, l'attaque n'a pas provoqué de grandes perturbations du réseau mondial, ce qui montre la robustesse du système. Selon le président-directeur général de Verisign, qui gère deux serveurs racine, l'ensemble des requêtes aurait pu être assuré par un seul serveur.

    L'attaque a été réalisée selon la méthode DDoS. Les cybercriminels ont pu, grâce à un parc de machines très important, générer un nombre de requêtes deux à trois fois supérieur à la charge habituelle des treize serveurs visés, soit quarante fois le volume habituel des requêtes.

    Le système Anycast a été mis en place après cette attaque pour neutraliser les attaques de type DoS/DDoS (dont fournir une redondance sur panne automatique).

  2. Attaque du 6 février 2007

    Le 6 février 2007, les serveurs F, G, L et M ont été attaqués pendant 24 heures à partir de 10:00 (Temps universel UTC). G et L ont été affectés sérieusement, tandis que F et M ont rapporté une charge inhabituelle. L'impact sur M a été amoindri grâce à anycast.

    La source de l'attaque s'avère être un botnet de 5 000 machines essentiellement basées en Corée du Sud et dirigé depuis les États-Unis.

  3. Attaques des 30 novembre et 1er décembre 2015

    Le 30 novembre 2015 (de 06:50 UTC jusqu'à environ 09:30 UTC) et le 1er décembre 2015 (de 05:10 UTC à 06:10 UTC), les 13 serveurs racine ont fait l'objet de deux attaques DDoS, causant des délais d'attente sur les serveurs racine B, C, G et H. Environ 5 millions de requêtes ont été envoyées par seconde vers les serveurs avec deux domaines uniques à l'origine de l'attaque, un pour chaque attaque. Selon le rapport du site root-servers.org, trois des treize serveurs racine ont subi des ralentissements, mais l'impact sur l'ensemble d'internet est resté limité.

Il y a d'autres types d'attaques comme jouer avec la recherche automatique, par certains serveurs DNS, de noms de domaines proches d'une résolution échouée pour diriger vers des domaines marchands inattendus, etc.