Vous avez probablement déjà entendu parler du terme « DNS premium » et vous n’y avez peut-être pas réfléchi. La plupart des gens savent que l’utilisation d’un fournisseur de DNS premium peut les aider mais ne prennent pas l’initiative de l’implémenter, ou ne savent peut-être pas comment.

Le 21 octobre 2016, la plus grande attaque DDoS de l’histoire s’est produite, faisant tomber de grandes entreprises telles que PayPal, Spotify, Twitter, Reddit et eBay. Certains l’appellent même le DNS Doomsday de l’Internet. Aujourd’hui, nous voulons nous pencher sur la façon dont un fournisseur DNS premium peut vous aider dans de telles situations, si l’installation est correcte, et empêcher votre site WordPress de tomber en panne.

Qu’est-ce que le DNS ?

DNS (Domain Name System) est l’épine dorsale d’Internet. Vous pouvez y penser comme à un annuaire téléphonique pour le World Wide Web. Chaque site Web et chaque domaine que vous visitez sont tous mappés sur une adresse IP.

Lorsque vous tapez Google.com dans votre barre d’adresse, une requête DNS est effectuée par votre FAI pour demander les serveurs de noms associés au domaine. Le mappage de l’adresse IP se fait alors en arrière plan par le serveur qui vous permet ensuite d’utiliser le nom de domaine pour y accéder. Sans DNS, il vous faudrait taper quelque chose comme 216.58.217.206 pour accéder à Google. Ce serait amusant, non ?

Comment fonctionnent les DNS

Comment fonctionnent les DNS

Lorsque vous enregistrez votre domaine, le bureau d’enregistrement de domaine (Registraire) fournit généralement des services DNS gratuits. Par exemple, NameCheap, GoDaddy, Google Domains, etc. vous offrent tous la possibilité de configurer vos serveurs de noms et d’acheminer votre domaine vers l’adresse IP de votre hébergeur Web. Google Domains est probablement le meilleur service DNS gratuit offert par un bureau d’enregistrement de noms de domaine car il dispose d’une très grande infrastructure. Quelques autres fournisseurs de DNS gratuits populaires incluent Cloudflare et Hurricane Electric Internet Services. Consultez cette liste de 10 fournisseurs DNS gratuits pour d’autres alternatives.

Cependant, si vous êtes sérieux au sujet de votre entreprise et de votre site Web, nous vous recommandons fortement d’opter pour un fournisseur de DNS premium, ce que nous examinerons plus en détail ci-dessous.

L’attaque DNS qui a affecté l’ensemble d’Internet

Le 21 octobre 2016, la pire chose qui soit arrivée à beaucoup d’entreprises. Une importante attaque par déni de service distribué (DDoS) a éclaté contre un fournisseur de DNS premium populaire, Dyn, et a réussi à mettre les services et les sites hors ligne.

Fondamentalement, ce qui s’est passé, c’est qu’ils ont réussi à faire tomber les serveurs de noms de Dyn, et comme nous l’avons expliqué plus haut, sans ces serveurs, les recherches DNS commencent à échouer. Dyn a commencé à en parler sur sa page d’état officielle et a réussi à fournir des mises à jour cohérentes tout au long de l’attaque qui a duré environ 11 heures.

État de l'attaque DDoS sur Dyn

État de l’attaque DDoS sur Dyn

Voici un exemple de ce qu’un client SaaS de Dynatrace voyait le vendredi 21 décembre depuis son application de monitoring DNS. L’attaque s’est concentrée sur la côte Est, mais elle s’est propagée dans l’ensemble des États-Unis et de l’Europe.

Carte d'attaque DDoS

Carte d’attaque DDoS

Parmi les entreprises concernées, on trouve des grands noms tels que Twitter, Amazon, Github, Shopify, Weather.com, Basecamp, Freshbooks, SoundCloud, Spotify, Netflix, Reddit, Disqus, PayPal, et des centaines d’autres. Nous l’avons même remarqué ici à Kinsta car Intercom, notre système d’assistance par ticket et chat, a également été affecté. L’attaque a maintenant été attribuée au réseau de robots Mirai Botnet, qui est un réseau d’appareils infectés par des logiciels malveillants se propageant eux-mêmes et utilisant un trafic TCP et UDP masqué sur le port 53.

En raison de ce qui s’est passé, les entreprises doivent repenser leur stratégie DNS. La mise en place d’un fournisseur DNS secondaire en tant que failover peut aider à fournir une redondance lorsque des problèmes tels que ceux mentionnés ci-dessus se produisent. Et nous vous recommandons d’utiliser au moins un fournisseur DNS premium, plutôt qu’un fournisseur gratuit, car ils sont mieux équipés pour gérer ces problèmes. Si des attaques de cette ampleur sont rares, les attaques DDoS en général ne le sont pas. En fait, selon les données fournies par easyDNS, les attaques DDoS s’aggravent avec le temps.

Les attaques DDoS au fil du temps

Les attaques DDoS au fil du temps

Au moment de la rédaction de cet article, le 31 octobre, 123 Reg, un bureau d’enregistrement de noms de domaine de grande taille, était déjà aux prises avec une attaque DDoS contre son DNS. Vous pouvez vous attendre à ce que dans les années à venir, cela ne fera qu’augmenter.

Avantages pour les fournisseurs de DNS Premium

Il y a beaucoup de bons fournisseurs de DNS gratuits, mais les fournisseurs de DNS premium offrent beaucoup d’avantages pour assurer que votre site web reste en ligne, tels que la sécurité, le DNS failover et de meilleures performances.

1. Sécurité – Mieux équipé pour les attaques à grande échelle

Les grands fournisseurs de DNS premium sont généralement mieux équipés pour vous protéger contre les attaques DDoS à grande échelle telles que celle du vendredi 21. Dyn est une entreprise très réputée et même s’il y a eu des temps d’indisponibilité, ils ont fait de leur mieux pour tenir les clients informés et ont travaillé 24 heures sur 24 pour tout remettre en état. Il est important de se rappeler que l’attaque a été la plus importante jamais enregistrée à 600 Gb/Sec. si cette même attaque s’était produite contre un fournisseur DNS gratuit ou plus petit, vous pouvez supposer que les résultats auraient été encore plus catastrophiques pour les clients.

Scott, vice-président exécutif de Dyn, a fait une déclaration officielle le 26 octobre :

Cette attaque a ouvert une importante conversation sur la sécurité et la volatilité d’Internet. Non seulement elle a mis en évidence les vulnérabilités en matière de sécurité des dispositifs « Internet des objets » (IOT) qui doivent être traitées, mais elle a également suscité un dialogue plus approfondi au sein de la communauté de l’infrastructure Internet sur l’avenir de l’Internet. Comme nous l’avons fait par le passé, nous attendons avec intérêt de contribuer à ce dialogue.

2. Stratégie de DNS failover

Les entreprises doivent maintenant repenser leur stratégie DNS et mettre en place un failover (basculement). Brian Armstrong, cofondateur de Canopy, a écrit un excellent article en 2014 intitulé « Vous faites probablement mal le DNS, comme nous l’avons fait. » C’était après qu’une attaque DDoS ait fait tomber leur fournisseur de DNS, DNSimple. Il aborde la question des TTLs et dit que les entreprises devraient les allonger. TTL signifie Time To Live, c’est le temps durant lequel les DNS restent « en vie », ou plutôt le temps pendant lequel les DNS resteront en vie dans la cache avant d’être vidé. Par exemple, si vous aviez un TTL d’une semaine et que votre fournisseur de DNS est tombé en panne pendant une journée, il est plus probable que les utilisateurs n’aient pas été affectés parce que votre FAI a le cache DNS.

Cependant, il y a aussi un revers à l’utilisation de TTLs élevés. Le vendredi 21, si vous alliez ajouter un 2ème fournisseur de DNS, cela n’aurait pas eu beaucoup d’importance car le TTL était réglé pour expirer en jours ou semaines et non en minutes. Ceci peut être résolu simplement en mettant en place plusieurs fournisseurs DNS à l’avance en préparation. Donc oui, des TTLs élevés peuvent être bons, mais ils devraient être utilisés en combinaison avec des stratégies de failover de fournisseurs DNS multiples. Consultez cet article plus détaillé sur les paramètres TTL des DNS.

La communauté doit travailler ensemble pour trouver des solutions commerciales ou open source afin de rendre les configurations DNS compatibles entre les fournisseurs (c’est le cas des configurations DNS complexes comme le failover, l’équilibrage de charge géographique, etc. Ce n’est plus une option, c’est incontournable. – Catchpoint

Il y a beaucoup de fournisseurs de DNS premium qui ont des tutoriels sur la façon de configurer les DNS secondaires comme un failover. La configuration recommandée est de configurer des serveurs de noms redondants avec plusieurs fournisseurs de DNS.

Il est également important de noter que selon la façon dont vous configurez votre DNS secondaire, cela peut nuire ou améliorer vos performances DNS. DNS Made Easy a un excellent webinar expliquant cela un peu plus en profondeur.

Vous avez des problèmes de temps d'indisponibilité et de WordPress ? Kinsta est la solution d'hébergement conçue pour vous faire gagner du temps ! Découvrez nos fonctionnalités

3. Performances

Un autre avantage des DNS premium est la vitesse ! Généralement, les DNS gratuits fournis par les bureaux d’enregistrement de domaines comme GoDaddy et Namecheap sont très lents. Google Domains est probablement une exception à cette règle simplement parce qu’ils ont une grande infrastructure. Les fournisseurs de DNS fonctionnent typiquement comme un CDN, ils ont plusieurs POPs dans le monde entier. Les grands fournisseurs de DNS comme Amazon, Cloudflare, Dyn et DNS Made Easy disposent tous d’une infrastructure massive spécialement conçue pour des environnements DNS à faible latence.

Nous avons effectué quelques tests avec l’outil de test de vitesse SolveDNS. Voici un exemple d’un domaine utilisant le DNS gratuit de NameCheap et les temps de réponse.

DNS gratuits de Namecheap

Test de vitesse DNS gratuit

Test de vitesse DNS gratuit

Vous trouverez ci-dessous un exemple d’utilisation du DNS Premium d’Amazon Route 53. Comme vous pouvez le voir en général, les temps de recherche DNS sont beaucoup plus rapides avec Amazon. Vous pouvez effectuer vos propres tests sur les fournisseurs, mais il est simplement important de se rappeler que, tout comme pour les hébergeurs web, il y en a des plus rapides et des plus lents. En général, les fournisseurs de DNS haut de gamme auront de meilleurs débits. Cloudflare en est un gratuit qui offre également d’excellentes performances, cependant, c’est délicat lorsque vous devez faire tourner plusieurs fournisseurs DNS.

DNS Amazon Route 53

Test de vitesse des DNS Premium de Amazon

Test de vitesse des DNS Premium de Amazon

Comment configurer un DNS Premium avec Kinsta

Nous croyons que le DNS premium est important et c’est pourquoi nous nous sommes associés à Amazon Route 53, un réseau mondial Anycast. Ils offrent le DNS failover ainsi qu’un routage de latence et de géolocalisation pour garantir que votre site Web est toujours en ligne et stable. Le routage est particulièrement important car il permet de s’assurer que votre DNS est routé vers l’emplacement le plus proche avec la latence la plus faible. Les DNS premium de Amazon Route 53 Premium sont inclus gratuitement pour tous les clients Kinsta. Pour l’installer sur votre site WordPress, suivez les étapes ci-dessous.

Étape 1

Dans votre tableau de bord MyKinsta, cliquez sur “Kinsta DNS”.

Kinsta DNS Amazon Route 53

Kinsta DNS Amazon Route 53

Étape 2

Cliquez sur « Ajouter un domaine » en haut à droite.

Ajouter un domaine dans Kinsta DNS

Ajouter un domaine dans Kinsta DNS

Étape 3

Vous pouvez ensuite ajouter vos enregistrements DNS en cliquant sur « Ajouter un enregistrement » en haut à droite. Votre enregistrement de type A doit pointer vers votre adresse IP Kinsta. Enregistrements pris en charge :

  • A
  • CNAME
  • MX
  • SPF
  • TXT
  • SRV
  • AAAA
  • DKIM
Enregistrements DNS Premium

Enregistrements DNS Premium

Étape 4

Vous devrez ensuite ajouter les serveurs de noms Amazon auprès de votre registraire de domaine ou de votre fournisseur DNS tiers. Vous pouvez y accéder en cliquant sur Nameservers sur la page des enregistrements DNS.

Serveurs de noms DNS Premium

Serveurs de noms DNS Premium

Et c’est tout ! Votre DNS est maintenant servi via Amazon Route 53.

Résumé

Tout comme Catchpoint et le vice-président exécutif de Dyn mentionnés ci-dessus, l’incident récent a amené les entreprises à repenser leurs stratégies DNS et la sécurité Web en général. Certaines entreprises ont perdu des millions de dollars à cause des temps d’indisponibilité qui se sont produits le vendredi 21. L’utilisation d’un fournisseur de DNS premium et la mise en œuvre d’une stratégie de DNS failover avec un fournisseur secondaire sont plus importantes que jamais. Ce n’est qu’une question de temps avant que la prochaine attaque DDoS ne frappe et vous devriez être prêt.

Avez-vous vos propres idées sur l’utilisation de fournisseurs de DNS premium ? Si oui, faites-le nous savoir ci-dessous dans les commentaires.

58
Partages