Dernière mise à jour : 5 février 2026
Qu’est-ce que la surveillance DNS ?
La surveillance DNS est le processus de suivi continu des performances et de la santé de votre système de noms de domaine (DNS), responsable de la traduction des noms de domaine en adresses IP. Essentiellement, le DNS agit comme l’annuaire téléphonique de l’internet, guidant les utilisateurs vers le serveur correct lorsqu’ils saisissent une adresse web. En surveillant le DNS, vous pouvez vous assurer que ces traductions se font rapidement et correctement, aidant les utilisateurs à atteindre votre site web sans interruption.
Pourquoi la surveillance DNS est-elle importante ?
Le DNS est une partie critique de l’infrastructure de votre site web, et lorsqu’il échoue, les utilisateurs ne peuvent pas accéder à votre site même si tout le reste fonctionne parfaitement. En conséquence, la surveillance DNS est une pratique opérationnelle standard. Elle permet la détection et la résolution de problèmes tels que des temps de résolution lents, des erreurs de configuration et des attaques DNS (par exemple, DDoS), qui peuvent tous affecter la disponibilité du site.
La surveillance proactive du DNS aide à garantir que votre site reste accessible et se charge rapidement pour les visiteurs. Les objectifs principaux de la surveillance DNS sont d’assurer une expérience utilisateur cohérente et fiable et de protéger le site contre les menaces liées au DNS.
Assurer la disponibilité
Le DNS est la première étape dans le processus d’accès à tout service en ligne. Si le DNS échoue, les utilisateurs ne peuvent pas atteindre votre site web ou application, ce qui entraîne des temps d’arrêt et des pertes commerciales potentielles importantes. La surveillance garantit que toute interruption, telle que des pannes, est détectée et résolue rapidement, maintenant un temps de fonctionnement élevé.
Sécurité
Le DNS est une cible fréquente pour plusieurs types d’attaques. Les attaques volumétriques telles que les DDoS visent à submerger les serveurs DNS autoritatifs ou récursifs, les rendant indisponibles. D’autres attaques, comme le spoofing DNS, l’empoisonnement du cache et le détournement DNS, manipulent le processus de résolution pour rediriger les utilisateurs vers des sites malveillants, voler des informations sensibles ou perturber l’accès au service. La surveillance aide à identifier et à atténuer ces menaces en temps réel.
Optimisation des performances
Une résolution DNS lente peut entraîner une mauvaise expérience utilisateur. La surveillance des performances DNS aide à identifier les goulets d’étranglement et à optimiser le processus de résolution, assurant un accès plus rapide à vos services. Les performances du serveur DNS et du cache DNS sont des aspects critiques nécessitant une surveillance constante pour éviter les problèmes de latence.
Problèmes DNS courants
- Indisponibilité du serveur DNS : Cela peut être dû à des pannes matérielles, des problèmes logiciels ou des attaques malveillantes.
- Retards de propagation : Les modifications DNS peuvent prendre du temps à se propager sur tous les serveurs DNS dans le monde, y compris les serveurs racine et les serveurs de noms.
- Erreurs de configuration DNS : Des configurations DNS incorrectes peuvent entraîner des échecs de résolution. Des erreurs dans les types d’enregistrements, tels que les enregistrements A, CNAME, MX et TXT, peuvent causer des perturbations importantes.
- Haute latence : Des temps de réponse DNS lents peuvent dégrader l’expérience utilisateur globale, c’est pourquoi la surveillance des performances est essentielle.
Que mesurer dans la surveillance DNS
La surveillance DNS ne se limite pas à vérifier si « le DNS est actif » : il s’agit de vérifier les réponses correctes, la rapidité de résolution et le comportement sûr/prévu à travers différents emplacements et résolveurs. Voici les principales catégories de mesures que vous devez suivre.
1. Disponibilité et exactitude
Ces contrôles confirment que votre DNS répond et renvoie les enregistrements corrects.
- Taux de réussite des requêtes (disponibilité) : Pourcentage de requêtes DNS qui retournent une réponse valide (pas de délais d’attente ou d’erreurs serveur).
- Réponses d’enregistrement correctes : Valider que les enregistrements critiques résolvent vers les valeurs attendues :
- A/AAAA → IP correctes (y compris IPv6 le cas échéant)
- CNAME → cible canonique correcte
- MX → bons serveurs de courrier + ordre de priorité
- TXT → chaînes SPF/DKIM/verification correctes
- Taux de NXDOMAIN (inattendu) : Des pics peuvent indiquer des enregistrements manquants, des fautes de frappe, un mauvais routage ou des problèmes de résolveur.
- Taux SERVFAIL/REFUSED : Souvent lié à des problèmes DNS autoritatifs, des erreurs de configuration, des problèmes DNSSEC ou des règles de contrôle d’accès.
- Consistance des réponses DNS : Comparer les réponses sur plusieurs résolveurs/régions pour détecter un DNS à cerveaux divisés, une propagation partielle ou des anomalies géographiques/de routage DNS.
2. Performance et latence (expérience utilisateur)
La latence DNS impacte directement la vitesse perçue du site, surtout lors des premières visites.
- Temps de recherche DNS (temps de résolution) : Suivre la résolution DNS moyenne (p50) est utile, mais la latence élevée (p95/p99) est plus importante. Si p95 dépasse ~100ms pour un domaine critique, de nombreux utilisateurs le ressentiront même si la moyenne semble correcte. Les pics p99 peuvent aussi signaler une congestion régionale précoce ou une attaque DDoS émergente.
- Temps au premier octet pour la réponse DNS : Utile pour identifier les problèmes de chemin réseau et une infrastructure DNS surchargée.
- Temps de résolution récursive vs autoritatif (si votre outil le supporte) : Permet d’isoler si la lenteur est due à :
- Performance du résolveur récursif, ou
- Votre DNS autoritatif/fournisseur, ou
- Conditions réseau dans des régions spécifiques
- Variance de latence géographique : Mesurez depuis plusieurs emplacements (NA/EU/APAC, etc.) car le DNS peut très différemment selon les régions.
3. Propagation DNS et vérification des modifications
Les modifications DNS sont une cause fréquente de pannes. La surveillance doit confirmer que les changements se propagent comme prévu.
- État de la propagation selon régions/résolveurs : Confirmer que les nouveaux enregistrements sont visibles globalement (ou dans votre zone géographique cible).
- Comportement du TTL : Suivre si les TTL sont définis comme prévu et s’ils sont respectés par les résolveurs (surtout important lors de migrations).
- Détection de changements sur zones/enregistrements critiques : Alerter sur des modifications inattendues des enregistrements A/AAAA/CNAME/MX/TXT/NS (aide à détecter des erreurs accidentelles et des compromissions).
4. Santé du DNS autoritatif (indicateurs fournisseur/infrastructure)
Si vous gérez votre propre DNS autoritatif (ou souhaitez plus de responsabilité fournisseur), suivez :
- Accessibilité des serveurs de noms autoritatifs : Tous les points NS répondent-ils ?
- Surveillance SOA : Suivez le numéro de série SOA et les paramètres de rafraîchissement/retry pour détecter des mises à jour ratées ou des problèmes de publication de zone.
- Codes de réponse DNS par serveur de noms : Un NS en panne peut causer des pannes intermittentes selon le comportement des résolveurs.
5. Signaux de sécurité (indicateurs d’alerte précoce)
La surveillance DNS ne peut pas arrêter toutes les attaques seule, mais elle peut révéler rapidement des comportements suspects.
- Pics soudains de temps de réponse : Souvent corrélés à des DDoS DNS, congestion amont ou surcharge des résolveurs.
- Modifications inattendues d’enregistrements : Signe potentiel de détournement DNS, comptes de registraire/fournisseur DNS compromis ou mauvaise configuration interne.
- Volumes de requêtes inhabituels (si accès aux journaux/analyses) : Des pics sur des sous-domaines ou types de requêtes spécifiques peuvent indiquer des abus.
- Statut de validation DNSSEC (si vous utilisez DNSSEC) : Surveillez les échecs de validation qui peuvent interrompre la résolution pour les résolveurs validants.
6. Couverture de la surveillance (pour éviter les angles morts)
Les métriques ne sont utiles que si vos vérifications reflètent le comportement réel.
- Couverture multi-résolveurs : Tester contre les résolveurs publics courants + résolveurs ISP quand possible.
- Sondues multi-régions : Effectuer les contrôles depuis des localisations correspondant à votre audience et marchés clés.
- Fréquence des contrôles et seuils d’alerte : Définir ce qu’est un état « mauvais » (ex. temps de recherche p95 au-dessus de X ms, SERVFAIL au-dessus de Y %, enregistrement manquant immédiatement critique).
Défaillances DNS courantes
Les défaillances DNS se répartissent typiquement en trois catégories : disponibilité (impossible de résoudre), exactitude (mauvaise réponse) et performance (résolution lente). Le tableau ci-dessous relie les symptômes courants aux causes probables et aux étapes de vérification les plus rapides.
Symptôme | Cause probable | Contrôles à effectuer |
|---|---|---|
Le domaine/nom d’hôte ne se résout pas du tout (délai d’attente) | Panne du DNS autoritatif, pare-feu bloquant UDP/TCP 53, DDoS, incident fournisseur | Interroger chaque serveur de noms (NS) autoritatif directement ; tester UDP et TCP ; vérifier le statut du fournisseur DNS ; vérifier pare-feu/limites de débit |
Défaillances intermittentes (fonctionne parfois, échoue parfois) | Un NS en panne, données de zone incohérentes, chemin réseau instable, limitation de débit | Interroger chaque NS plusieurs fois ; comparer les réponses ; vérifier la santé/latence du NS par région ; revoir les paramètres de limitation de débit |
SERVFAIL des résolveurs | Échec de validation DNSSEC, zone corrompue, délégation défaillante, problème de résolveur amont | Tester plusieurs résolveurs ; interroger NS autoritatif ; valider la chaîne DNSSEC (DS/DNSKEY/signatures) ; confirmer la délégation correcte |
NXDOMAIN pour un nom d’hôte qui devrait exister | Enregistrement manquant, mauvaise zone/fournisseur, faute de frappe, DNS horizon partagé, confusion dans le cache | Interroger NS autoritatif pour le nom d’hôte exact ; confirmer que l’enregistrement existe dans la bonne zone ; vérifier horizon partagé ; vérifier l’orthographe |
Résout, mais vers la mauvaise IP/cible | A/AAAA/CNAME incorrect, cache obsolète, mauvaise configuration CDN/dirigeant de trafic, détournement/changement non autorisé | Comparer entre régions/résolveurs ; vérifier les réponses autoritatives ; revoir les changements DNS récents ; vérifier que registraire et NS n’ont pas changé |
Le DNS est « actif » mais très lent (temps de recherche élevé) | Surcharge du résolveur, serveur autoritatif lent/éloigné, problèmes de routage Anycast, perte de paquets, grandes réponses/problèmes EDNS | Suivre la latence p95 par région ; comparer temps récursif vs autoritatif ; tester différents résolveurs ; vérifier taille réponses/EDNS ; rechercher perte de paquets |
Les modifications ne se propagent pas comme prévu | TTL trop élevé, résultats mis en cache, zones secondaires obsolètes, interrogation de résolveurs différents | Vérifiez le TTL; vérifiez d’abord les NS autoritaires; confirmez que le numéro de série SOA a augmenté; assurez-vous que tous les NS servent les nouvelles données; testez plusieurs résolveurs/plusieurs régions |
Fonctionne pour certains utilisateurs/régions mais pas pour d’autres | Déséquilibre GeoDNS/Anycast, panne partielle, DNS à horizon partagé, problèmes de résolveur ISP | Effectuez des vérifications multi-régions; comparez résolveurs ISP et publics; vérifiez les règles GeoDNS; contrôlez la dégradation des POP/régions du fournisseur |
Échecs de livraison d’e-mails (liés au MX) | MX manquants/incorrects, mauvaise priorité, hôte mail non résolu, problèmes TXT SPF/DKIM/DMARC | Vérifiez les enregistrements MX et l’ordre de priorité; confirmez que les noms d’hôtes mail se résolvent; validez SPF/DKIM/DMARC; confirmez la propagation |
Boucle CNAME ou conflit de type d’enregistrement | Boucle dans la chaîne CNAME, conflit A + CNAME, cible/CDN mal configuré | Suivez la chaîne CNAME pas à pas; assurez-vous qu’il n’y a pas de références circulaires; confirmez que vous n’utilisez pas CNAME là où ce n’est pas permis (domaine apex) |
Pannes liées à DNSSEC | Non concordance DS/DNSKEY, signatures expirées, rotation de clé incorrecte | Confirmez que le DS chez le registrar correspond au DNSKEY; vérifiez la validité/l’expiration des signatures; examinez les changements de rollover DNSSEC; validez avec plusieurs résolveurs |
Réponses TXT volumineuses échouent ou sont tronquées | Fragmentation UDP bloquée, problèmes de MTU, mauvaise configuration EDNS, TCP/53 bloqué | Vérifiez la troncature (drapeau TC); réessayez via TCP; assurez-vous que TCP/53 est autorisé; réduisez la taille des enregistrements si possible; validez les paramètres EDNS |
Mise en œuvre de la surveillance DNS
1. Choisir les bons outils
Plusieurs outils sont disponibles pour la surveillance DNS, allant des solutions open source aux produits commerciaux complets. Parmi les options populaires figurent :
- Nagios : Un système de surveillance open source qui peut être configuré pour surveiller les serveurs DNS et les requêtes DNS.
- Zabbix : Un autre outil open source de surveillance offrant des capacités de surveillance DNS, y compris la surveillance des serveurs DNS et du réseau.
- Pingdom : Un service commercial fournissant une surveillance détaillée des performances et de la disponibilité DNS, ainsi que la surveillance synthétique.
- Dynatrace : Une solution de surveillance complète qui inclut la surveillance DNS dans son offre, intégrant d’autres services de surveillance.
- Dotcom-Monitor : Un outil commercial offrant des services robustes de surveillance DNS, proposant des métriques de performance détaillées et des alertes en temps réel pour garantir la disponibilité et la sécurité de votre infrastructure DNS.
- Real User Monitoring (RUM) : Outils collectant des données des utilisateurs réels interagissant avec votre site web pour fournir des informations sur la performance DNS du point de vue de l’utilisateur.
- Tableaux de bord : Utilisez les tableaux de bord dans ces outils pour visualiser les métriques de performance DNS et suivre les tendances au fil du temps.
Si vous évaluez des plateformes, consultez notre récapitulatif des meilleurs outils de surveillance DNS avec les caractéristiques clés à comparer (sondes multi-régions, couverture des résolveurs, alertes et rapports).
2. Configuration de la surveillance
Étape 1 : Définir les enregistrements DNS critiques
Identifiez et listez tous les enregistrements DNS critiques à surveiller. Ceux-ci incluent généralement :
- Enregistrements A
- Enregistrements CNAME
- Enregistrements MX
- Enregistrements TXT
Étape 2 : Configurer les outils de surveillance
Configurez l’outil de surveillance choisi pour vérifier régulièrement la disponibilité et la performance des enregistrements DNS définis. Cela implique généralement :
- Ajouter les enregistrements DNS à l’outil de surveillance.
- Mettre en place des mécanismes d’alerte (email, SMS, webhooks) pour vous notifier en cas de problème.
- Configurer des seuils pour les métriques de performance acceptables (par exemple, temps de réponse, délai de résolution).
Étape 3 : Surveillance et alertes continues
Assurez-vous que votre système de surveillance vérifie continuellement les enregistrements DNS à intervalles réguliers. Configurez des alertes pour être notifié immédiatement si :
- Un enregistrement DNS devient inaccessible.
- Le temps de réponse dépasse les limites acceptables.
- Une activité inhabituelle, telle qu’une augmentation soudaine du temps de réponse ou des modifications des enregistrements DNS, est détectée.
Étape 4 : Analyse et réponse aux alertes
Lorsqu’une alerte est déclenchée, il est crucial d’avoir un plan de réponse en place. Celui-ci doit inclure :
- Identifier la cause du problème (par exemple, défaillance serveur, erreur de configuration, attaque DDoS).
- Prendre des mesures correctives (redémarrer les services DNS, mettre à jour les configurations DNS, atténuer les attaques).
- Documenter l’incident et les étapes de résolution prises pour prévenir de futures occurrences.
Meilleures pratiques pour la surveillance DNS
- Redondance : Utiliser des serveurs DNS dans plusieurs régions aide, mais la vraie résilience vient de l’utilisation de plusieurs fournisseurs DNS avec des infrastructures séparées pour éviter les pannes à l’échelle du fournisseur. Gardez les données de zone synchronisées et surveillez chaque fournisseur indépendamment.
- Audits réguliers : Passez en revue et auditez périodiquement vos configurations DNS pour vous assurer qu’elles sont à jour et sécurisées. Les audits réguliers permettent d’identifier les mauvaises configurations et les vulnérabilités.
- Utiliser le routage Anycast : Cela aide à distribuer le trafic DNS sur plusieurs serveurs, améliorant à la fois la disponibilité et les performances.
- Mettre en œuvre DNSSEC : Les extensions de sécurité DNS (DNSSEC) ajoutent une couche de sécurité pour prévenir certains types d’attaques, comme la falsification DNS.
- Intégrations : Assurez-vous que vos outils de surveillance DNS peuvent s’intégrer avec d’autres services de surveillance du réseau et web pour une vue complète de votre infrastructure.
- Notifications : Mettez en place des systèmes de notification robustes pour vous alerter immédiatement de tout problème DNS, assurant une résolution rapide et un temps d’indisponibilité minimal.
- Dépannage efficace : Développez un guide de dépannage pour adresser rapidement les problèmes DNS dès leur apparition. Cela inclut la compréhension des requêtes DNS et l’analyse des journaux DNS.
- Solutions SaaS : Envisagez d’utiliser des outils de surveillance DNS basés sur SaaS pour une scalabilité et une maintenance plus faciles.
- Surveillance SSL : Intégrez la surveillance SSL dans votre stratégie de surveillance DNS pour garantir que les certificats SSL sont valides et à jour.
- Support IPv6 : Assurez-vous que votre infrastructure DNS prend en charge IPv6 pour s’adapter aux normes Internet modernes.
- Surveillance des noms d’hôtes et des routeurs : Surveillez les noms d’hôtes et les routeurs pour garantir que tous les composants du réseau fonctionnent correctement.
- Surveillance API et utilisateur final : Surveillez les API et les interactions des utilisateurs finaux pour assurer une performance fluide et une bonne expérience utilisateur.
Conclusion
La surveillance DNS aide à maintenir la disponibilité, les performances et la sécurité des services exposés sur Internet. En mettant en œuvre des pratiques de surveillance efficaces, vous pouvez garantir la disponibilité, la sécurité et la performance de votre infrastructure DNS. Investir dans les bons outils et processus, tels que les outils de surveillance DNS, les services de surveillance des performances, et les tableaux de bord, sera rentable en évitant les temps d’arrêt, en améliorant l’expérience utilisateur et en protégeant contre les menaces potentielles.
Surveiller régulièrement la performance des serveurs DNS, traiter les vulnérabilités, utiliser la surveillance synthétique pour détecter proactivement les problèmes, et intégrer la prise en charge SSL et IPv6 sont des étapes cruciales pour obtenir une infrastructure DNS résiliente. Assurer une haute disponibilité grâce à une surveillance continue des serveurs DNS et des pratiques efficaces de dépannage aidera à maintenir une présence en ligne fiable et performante.
Questions fréquemment posées
La surveillance DNS vérifie si votre DNS se résout correctement et rapidement (disponibilité, latence, enregistrements corrects). La surveillance de domaine se concentre sur la propriété et la gouvernance – état d’expiration, modifications du registrar/WHOIS, changements de serveurs de noms, et abus de domaines similaires.
Pour les noms d’hôtes critiques (domaine racine, www, API, email), effectuez des vérifications toutes les 1 à 5 minutes depuis plusieurs régions. Pour les enregistrements moins critiques, 5 à 15 minutes suffisent généralement, et vous pouvez augmenter la fréquence lors des migrations ou des changements DNS.
SERVFAIL est généralement plus urgent car il indique des problèmes côté serveur, des problèmes de validation DNSSEC, ou un DNS autoritaire cassé. NXDOMAIN peut être normal pour des noms inexistants, mais est critique s’il apparaît pour des noms d’hôtes qui devraient exister (comme www ou votre API).
Vérifiez d’abord les modifications sur les serveurs de noms autoritaires, puis consultez plusieurs résolveurs publics et régions pour voir quand les utilisateurs observeront la mise à jour. Suivez les TTL, car de nombreux « délais de propagation » sont simplement des résultats en cache qui ne seront pas mis à jour avant l’expiration du TTL.
Configurez des alertes pour les modifications inattendues des enregistrements critiques (A/AAAA/CNAME/MX/TXT) et particulièrement des enregistrements NS/DS. Comparez également les réponses DNS entre plusieurs résolveurs/régions et associez cela à des vérifications HTTPS (certificat/contenu) pour confirmer que le trafic n’est pas redirigé.