www.malekal.com is an alias for ovh.malekal.com.
ovh.malekal.com is an alias for ns206195.ovh.net.
ns206195.ovh.net has address 94.23.44.69
DNS permet aussi de connaitre le serveur e-mail d'un domaine (MX).
Il s'agit donc d'un protocole essentiel au fonctionne des communications réseaux.
Si ce dernier est mal paramétré ou endommagé, le surf sera par exemple impossible.
Google Chrome peut alors retourner des erreurs DNS_PROBE_FINISHED_BAD_CONFIG ou DNS_PROBE_FINISHED_NXDOMAIN
Pour rappel, les serveurs DNS sont configurés dans les propriétés TCP/IP de chaque carte réseau. En général, ils sont configurés et obtenus par défaut depuis le serveur DHCP, c'est à dire le serveur qui distribue la configuration réseau pour chaque carte. Sous Windows, la commande ipconfig permet de récupérer ces informations.
En général, en adresse DNS, vous devez avoir l'adresse IP de votre routeur/box. La page suivante explique comment remettre les DNS par défaut : Réinitialiser les serveurs DNS
Quelques informations sur la résolution DNS
Les systèmes d'exploitation Windows et GNU/Linux fonctionnent globalement de la même manière en ce qui concerne la résolution DNS. L'OS va d'abord regarder si l'adresse se trouve dans le fichier HOSTS de Windows avant de tenter de résoudre celle-ci et prendra en priorité le contenu du fichier HOSTS. Il semblerait toutefois que Microsoft se soit arrangé pour créer des exceptions sur certaines adresses, c'est flagrant sur Windows 10. Souvent, on a tendance à utiliser la commande ping afin de récupérer l'adresse IP bien que ça soit d'être l'idéal l'idéal en terme de fiabilité.
Ci-dessous un exemple de résolution DNS qui montre le fichier HOSTS où https://www.malekal.com possède l'adresse IP 1.1.1.1 et on constate bien que ping retourne cette adresse IP, ce n'est pas le cas de la commande Windows nslookup.
nslookup est donc un outil utile pour effectuer des résolutions DNS et tester des serveurs DNS. Pour utiliser nslookup, simplement tapez la commande dans une invite de commandes. En tapant l'adresse littéral, on obtient la résolution avec les serveurs DNS configurés par défaut. server permet de changer de serveur DNS, dans l'exemple ci-dessous on switch vers les DNS Google 8.8.8.8
DNS & sécurités : Interceptions et redirections
Maintenant que vous avez compris que les serveurs DNS permettent de faire correspondre une adresse littérale vers une adresse IP, il faut comprendre qu'il est possible, en employant certaines attaques, de rediriger les internautes vers un serveur malicieux. L'opération est encore plus simple si un code malveillant va directement modifier les DNS légitimes par ceux contrôlés par le pirate. Ce dernier n'aura qu'à donner faire correspondre le nom d'un serveur ( ex: le nom d'une banque ) vers une IP qu'il contrôle et qui ressemble en tout point à l'interface du site officiel. Si l'internaute transmet des formulaires ( ex: ses identifiants ) le pirate pourra alors les récupérer et rerouter la victime vers le vrai site. La victime ne s'aperçoit de rien, on dit que c'est "transparent". Cette méthode se nomme : MITM ( l'attaque de l'homme du milieu )
Des codes malveillants chargés de modifier silencieusement les DNS à l'insu des utilisateurs ont vu le jour très tôt, nous en reparlions dans l'actualité DNS Changer. La mission est simple, modifier la configuration réseau de la machine. De 2006 à 2011, un trojan a particulièrement fait parler de lui, il modifiait les adresses des serveurs de pubs pour générer des fraudes publicitaires, c'est à dire des chargements illicites de publicités, les gains allaient directement aux auteurs du trojan.
Les modifications des configurations peuvent aussi être appliquées à du matériel réseau, comme les box, les routeurs, ... tous les terminaux peuvent être détournés y compris les futurs objets connectés. Plus d'informations : Hack/Piratage de routeur en hausse.
Depuis, des adware font de même avec une famille spécifique, c'est le cas de CloudScout et de DNS Unlocker ( qui semble changer de noms depuis vers des noms en *Lix >> AnyFlix / TopFlix etc ).
Ci-dessous, des serveurs israéliens forcés par l'infection DNS Unlocker :
Notez que la modification des serveurs WEB ayant du HTTPs doit générer des erreurs puisqu'une des finalités du HTTPs est de certifier que le site WEB que vous visitez a bien pour propriétaire le détenteur du certificat. Depuis tout un tas de trojans ont vu le jour avec d'autres fonctionnalités comme par exemple le déchiffrages des flux chiffrés (https) par ajouts de certificats numériques truqués. C'est le cas de la famille DNSUnlocker / v-bates qui installent une panoplie de certificats qui iront s'intercaler avant celui du serveur final. Une fois le procédé en place, ça permet de récupérer les contenus HTTPS visité par la victime en clair : il n'y a aucune alerte de sécurité. Ceci est évoqué en détail dans la seconde partie de l'article : Comprendre le HTTPs et à quoi sert le HTTPs.
Certains trojans jouent avec le fichier HOSTS, c'est un peu simplet mais ça fonctionne. Très courant, l'insertion d'adresse dans le fichier HOSTS permet aussi d'empêcher la victime de se connecter aux serveurs de Microsoft, d'antivirus, etc.. les mises à jour ne font plus plus et la machine reste infectée plus longtemps.
Plus vicieux encore, la famille l'v-bates ( même famille que les adwares DNSUnlocker ) se contente de modifie le fichier système "dnsapi.dll" de WIndows pour le faire pointer vers un autre fichier que HOSTS. Le fichier HOSTS ne sert plus à rien et l'attaquant en mettant dans le nouveau fichier des redirections vers des serveurs de publicités se fera rapidement un paquet d'argent. Des publicités seront régulièrement injectées tous les sites visités, la victime pensera alors que son navigateur est infecté.
Enfin, les modifications de résolutions DNS ( ou d'autres techniques ) peuvent être utilisées en amont des utilisateurs à des fins de filtrages/censures. Par exemple, suite à des demandes de justice ou à des filtrages mis en place par l'État sur des sites djihadistes. Plus d'informations : Filtrages DNS. A noter qu'il est aussi possible de s'en servir comme filtrages de type contrôle parental, c'est notamment le cas avec OpenDNS : contrôle parental
Conclusion
Le serveur DNS est un maillon important du fonctionnement des connexions réseaux, si ce dernier ne fonctionne plus, le surf sur la toile deviendra impossible. C'est aussi un maillon très attaqué par les codes malveillants dans la mesure où ça permet de réaliser bien d'autres opérations non détaillées dans cette page.