Qu’est-ce que la surveillance DNS ?
Dernière mise à jour : 5 février 2026
Qu’est-ce que la surveillance DNS ?
La surveillance DNS est le processus consistant à suivre en continu les performances et la santé de votre système de noms de domaine (DNS), qui est responsable de la traduction des noms de domaine en adresses IP. En substance, le DNS agit comme l’annuaire de l’Internet, guidant les utilisateurs vers le serveur approprié lorsqu’ils saisissent une adresse web. En surveillant le DNS, vous pouvez vous assurer que ces traductions s’effectuent rapidement et correctement, aidant ainsi les utilisateurs à accéder à votre site web sans interruption.
Pourquoi la surveillance DNS est-elle importante ?
Le DNS est une partie critique de l’infrastructure de votre site web, et lorsqu’il échoue, les utilisateurs ne peuvent pas accéder à votre site même si tout le reste fonctionne parfaitement. Par conséquent, la surveillance DNS est une pratique opérationnelle standard. Elle permet de détecter et de résoudre des problèmes tels que des temps de résolution lents, des erreurs de configuration et des attaques DNS (par exemple, DDoS), qui peuvent tous affecter la disponibilité du site.
Une surveillance DNS proactive permet de garantir que votre site web reste accessible et se charge rapidement pour les visiteurs. Les principaux objectifs de la surveillance DNS sont d’assurer une expérience utilisateur cohérente et fiable et de protéger le site contre les menaces liées au DNS.
Assurer la disponibilité
Le DNS est la première étape du parcours d’accès à tout service en ligne. Si le DNS échoue, les utilisateurs ne peuvent pas accéder à votre site web ou à votre application, ce qui entraîne des interruptions de service et potentiellement des pertes commerciales importantes. La surveillance garantit que toute perturbation, telle qu’une panne, est détectée et résolue rapidement, maintenant ainsi un taux de disponibilité élevé.
Sécurité
Le DNS est une cible fréquente de plusieurs types d’attaques. Les attaques volumétriques comme les DDoS visent à submerger les serveurs DNS autoritatifs ou récursifs, les rendant indisponibles. D’autres attaques, telles que l’usurpation DNS (DNS spoofing), l’empoisonnement de cache et le détournement DNS, manipulent le processus de résolution afin de rediriger les utilisateurs vers des sites malveillants, voler des informations sensibles ou perturber l’accès au service. La surveillance aide à identifier et à atténuer ces menaces en temps réel.
Optimisation des performances
Une résolution DNS lente peut entraîner une mauvaise expérience utilisateur. La surveillance des performances DNS permet d’identifier les goulets d’étranglement et d’optimiser le processus de résolution, garantissant un accès plus rapide à vos services. Les performances des serveurs DNS et celles du cache DNS sont des aspects critiques qui nécessitent une surveillance constante afin d’éviter les problèmes de latence.
Problèmes DNS courants
- Indisponibilité du serveur DNS : Cela peut être dû à des défaillances matérielles, des problèmes logiciels ou des attaques malveillantes.
- Délais de propagation : Les modifications DNS peuvent prendre du temps à se propager sur tous les serveurs DNS dans le monde, y compris les serveurs racine et les serveurs de noms.
- Erreurs de configuration DNS : Des configurations DNS incorrectes peuvent entraîner des échecs de résolution. Des erreurs dans les types d’enregistrements, tels que les enregistrements A, CNAME, MX et TXT, peuvent provoquer des perturbations importantes.
- Latence élevée : Des temps de réponse DNS lents peuvent dégrader l’expérience utilisateur globale, c’est pourquoi la surveillance des performances est essentielle.
Que mesurer dans la surveillance DNS
La surveillance DNS ne consiste pas seulement à vérifier si « le DNS est disponible ? » — il s’agit de valider des réponses correctes, une résolution rapide et un comportement sûr et attendu selon les emplacements et les résolveurs. Ci-dessous figurent les principales catégories de mesures à suivre.
1. Disponibilité et exactitude
Ces vérifications confirment que votre DNS répond et renvoie les bons enregistrements.
- Taux de réussite des requêtes (disponibilité) : Pourcentage des requêtes DNS qui renvoient une réponse valide (et non des délais d’attente ou des erreurs serveur).
- Exactitude des enregistrements : Validez que les enregistrements critiques se résolvent vers les valeurs attendues :
- A/AAAA → adresses IP correctes (y compris IPv6 lorsque applicable)
- CNAME → cible canonique correcte
- MX → serveurs de messagerie corrects + ordre de priorité
- TXT → chaînes SPF/DKIM/de vérification correctes
- Taux NXDOMAIN (inattendu) : Des pics peuvent indiquer des enregistrements manquants, des fautes de frappe, un mauvais routage ou des problèmes de résolveur.
- Taux SERVFAIL/REFUSED : Indique souvent des problèmes DNS autoritatifs, des erreurs de configuration, des problèmes DNSSEC ou des règles de contrôle d’accès.
- Constance des réponses DNS : Comparez les réponses entre plusieurs résolveurs/régions pour détecter un DNS « split-brain », une propagation partielle ou des anomalies de routage géographique/DNS.
2. Performance et latence (expérience utilisateur)
La latence DNS impacte directement la vitesse perçue du site, en particulier lors des premières visites.
- Temps de recherche DNS (temps de résolution) : Suivre la résolution DNS moyenne (p50) est utile, mais la latence en queue (p95/p99) est plus importante. Si le p95 dépasse environ 100 ms pour un domaine critique, de nombreux utilisateurs le ressentiront même si la moyenne semble correcte. Les pics de p99 peuvent également signaler tôt une congestion régionale ou l’émergence d’un DDoS.
- Temps jusqu’au premier octet pour la réponse DNS : Utile pour identifier des problèmes de chemin réseau et une infrastructure DNS surchargée.
- Temps récursif vs autoritatif (si votre outil le permet) : Aide à isoler si la lenteur est due à :
- La performance du résolveur récursif, ou
- Votre DNS autoritatif/fournisseur, ou
- Les conditions réseau dans des régions spécifiques
- Variation de latence géographique : Mesurez depuis plusieurs emplacements (Amérique du Nord/Europe/APAC, etc.), car le DNS peut se comporter très différemment selon la région.
3. Propagation DNS et vérification des changements
Les modifications DNS sont une source fréquente d’interruptions. La surveillance doit confirmer que les changements sont déployés comme prévu.
- Statut de propagation entre régions/résolveurs : Confirmez que les nouveaux enregistrements sont visibles à l’échelle mondiale (ou dans votre zone géographique cible).
- Comportement du TTL : Suivez si les TTL sont définis comme prévu et si les résolveurs les respectent (particulièrement important lors des migrations).
- Détection des modifications pour les zones/enregistrements critiques : Alertez en cas de modifications inattendues des enregistrements A/AAAA/CNAME/MX/TXT/NS (aide à détecter des modifications accidentelles ou une compromission).
4. Santé du DNS autoritatif (signaux fournisseur/infrastructure)
Si vous exploitez votre propre DNS autoritatif (ou souhaitez une meilleure visibilité fournisseur), suivez :
- Accessibilité des serveurs de noms autoritatifs : Tous les points de terminaison NS répondent-ils ?
- Surveillance SOA : Surveillez le numéro de série SOA ainsi que les paramètres de rafraîchissement/réessai pour détecter des échecs de mise à jour ou de publication de zone.
- Codes de réponse DNS par serveur de noms : Un seul NS défaillant peut provoquer des interruptions intermittentes selon le comportement du résolveur.
5. Signaux de sécurité (indicateurs d’alerte précoce)
La surveillance DNS ne peut pas arrêter chaque attaque à elle seule, mais elle peut révéler rapidement des schémas suspects.
- Pic soudain des temps de réponse : Souvent corrélé à un DDoS DNS, une congestion en amont ou une surcharge de résolveur.
- Changements inattendus d’enregistrements : Signe potentiel de détournement DNS, de comptes registrar/fournisseur DNS compromis ou de mauvaise configuration interne.
- Schémas inhabituels de volume de requêtes (si vous avez accès aux journaux/analyses) : Des hausses sur certains sous-domaines ou types de requêtes peuvent indiquer un abus.
- Statut de validation DNSSEC (si vous utilisez DNSSEC) : Surveillez les échecs de validation qui peuvent empêcher la résolution pour les résolveurs validants.
6. Couverture de la surveillance (éviter les angles morts)
Les métriques ne sont utiles que si vos contrôles reflètent le comportement réel.
- Couverture multi-résolveurs : Testez contre des résolveurs publics courants et, si possible, ceux des FAI.
- Sondes multi-régions : Exécutez des contrôles depuis des emplacements correspondant à votre audience et à vos marchés critiques.
- Fréquence des contrôles et seuils d’alerte : Définissez ce qui est « mauvais » (par exemple, temps de résolution p95 au-dessus de X ms, SERVFAIL au-dessus de Y %, enregistrement manquant critique immédiatement).
Pannes DNS courantes
Les pannes DNS se répartissent généralement en trois catégories : disponibilité (impossible de résoudre), exactitude (mauvaise réponse) et performance (résolution lente). Le tableau ci-dessous relie les symptômes courants aux causes probables et aux étapes de vérification les plus rapides.
Symptôme | Cause probable | Vérifications à effectuer |
|---|---|---|
Le domaine/hostname ne se résout pas du tout (timeouts) | Panne du DNS autoritatif, pare-feu bloquant UDP/TCP 53, DDoS, incident chez le fournisseur | Interroger chaque serveur de noms (NS) autoritatif directement ; tester en UDP et TCP ; vérifier le statut du fournisseur ; contrôler les limites du pare-feu/de débit |
Pannes intermittentes (fonctionne parfois, échoue parfois) | Un NS hors ligne, données de zone incohérentes, chemin réseau instable, limitation de débit | Interroger chaque NS à plusieurs reprises ; comparer les réponses ; vérifier la latence/santé du NS par région ; examiner les paramètres de limitation |
SERVFAIL depuis les résolveurs | Échec de validation DNSSEC, zone corrompue, problème de délégation, problème de résolveur en amont | Tester plusieurs résolveurs ; interroger les NS autoritatifs ; valider la chaîne DNSSEC (DS/DNSKEY/signatures) ; confirmer la délégation correcte |
NXDOMAIN pour un hostname qui devrait exister | Enregistrement manquant, mauvaise zone/fournisseur, DNS split-horizon, confusion de cache | Interroger les NS autoritatifs pour le hostname exact ; confirmer que l’enregistrement existe dans la bonne zone ; vérifier le split-horizon ; contrôler l’orthographe |
Résout, mais vers la mauvaise IP/cible | A/AAAA/CNAME incorrect, cache obsolète, configuration DNS/CDN/traffic mal définie, modification non autorisée | Comparer entre régions/résolveurs ; vérifier les réponses autoritatives ; examiner les changements DNS récents ; confirmer que le registrar et les NS n’ont pas changé |
Le DNS est « actif » mais lent (temps de requête élevé) | Surcharge du résolveur, DNS autoritatif lent/éloigné, problèmes de routage Anycast, perte de paquets, réponses EDNS volumineuses/problématiques | Suivre la latence p95 par région ; comparer temps récursif vs autoritatif ; tester différents résolveurs ; vérifier la taille des réponses/EDNS ; rechercher une perte de paquets |
Les modifications ne se propagent pas comme prévu | TTL trop élevé, résultats en cache, zones secondaires obsolètes, interrogation de résolveurs différents | Vérifier le TTL ; contrôler d’abord les NS autoritatifs ; confirmer l’augmentation du numéro de série SOA ; s’assurer que tous les NS servent les nouvelles données ; tester plusieurs résolveurs/régions |
Fonctionne pour certains utilisateurs/régions mais pas pour d’autres | Déséquilibre GeoDNS/Anycast, panne partielle, DNS split-horizon, problèmes de résolveur chez le FAI | Effectuer des vérifications multi-régions ; comparer les IPs avec des résolveurs publics ; vérifier la configuration GeoDNS ; contrôler la dégradation d’un POP/région du fournisseur |
Échecs uniquement sur la livraison des e-mails (lié à MX) | MX manquant/incorrect, priorité erronée, hostname mail ne se résolvant pas, problèmes SPF/DKIM/DMARC TXT | Vérifier les enregistrements MX et l’ordre de priorité ; confirmer que les hostnames mail se résolvent ; valider SPF/DKIM/DMARC ; confirmer la propagation |
Boucle CNAME ou conflit de type d’enregistrement | Boucle CNAME, CNAME en conflit avec A + CNAME, cible CDN incorrecte/mal configurée | Suivre la chaîne CNAME étape par étape ; s’assurer qu’il n’y a pas de références circulaires ; confirmer que vous n’utilisez pas CNAME là où il n’est pas autorisé (apex) |
Pannes liées à DNSSEC | Incompatibilité DS/DNSKEY, signatures expirées, rollover de clé incorrect | Confirmer que le DS chez le registrar correspond au DNSKEY ; vérifier la validité des signatures ; examiner les changements de rollover DNSSEC ; valider avec plusieurs résolveurs |
Les réponses TXT volumineuses échouent ou sont tronquées | Fragmentation UDP bloquée, problèmes MTU, mauvaise configuration EDNS, TCP/53 bloqué | Vérifier la troncature (flag TC) ; réessayer via TCP ; s’assurer que TCP/53 est autorisé ; réduire la taille de l’enregistrement si possible ; valider les paramètres EDNS |
Mise en œuvre de la surveillance DNS
1. Choisir les bons outils
Il existe plusieurs outils disponibles pour la surveillance DNS, allant des solutions open source aux produits commerciaux complets. Parmi les options populaires :
- Nagios : Un système de surveillance open source pouvant être configuré pour surveiller les serveurs DNS et les requêtes DNS.
- Zabbix : Un autre outil open source offrant des capacités de surveillance DNS, y compris la surveillance des serveurs DNS et du réseau.
- Pingdom : Un service commercial fournissant une surveillance détaillée des performances et de la disponibilité DNS, ainsi qu’une surveillance synthétique.
- Dynatrace : Une solution de surveillance complète incluant la surveillance DNS dans son offre, avec intégration à d’autres services de monitoring.
- Dotcom-Monitor : Un outil commercial fournissant des services robustes de surveillance DNS, avec des métriques de performance détaillées et des alertes en temps réel pour garantir que votre infrastructure DNS reste disponible et sécurisée.
- Real User Monitoring (RUM) : Des outils qui collectent des données auprès d’utilisateurs réels interagissant avec votre site web afin de fournir des informations sur les performances DNS du point de vue utilisateur.
- Tableaux de bord : Utilisez les tableaux de bord de ces outils pour visualiser les métriques de performance DNS et suivre les tendances dans le temps.
Si vous évaluez des plateformes, consultez notre sélection des meilleurs outils de surveillance DNS avec les fonctionnalités clés à comparer (sondes multi-régions, couverture des résolveurs, alerting et reporting).
2. Configurer la surveillance
Étape 1 : Définir les enregistrements DNS critiques
Identifiez et listez tous les enregistrements DNS critiques à surveiller. Ceux-ci incluent généralement :
- Enregistrements A
- Enregistrements CNAME
- Enregistrements MX
- Enregistrements TXT
Étape 2 : Configurer les outils de surveillance
Configurez l’outil de surveillance choisi pour vérifier régulièrement la disponibilité et les performances des enregistrements DNS définis. Cela implique généralement :
- L’ajout des enregistrements DNS dans l’outil de surveillance.
- La mise en place de mécanismes d’alerte (email, SMS, webhooks) pour être informé de tout problème.
- La configuration de seuils pour des métriques de performance acceptables (par exemple, temps de réponse, temps de résolution).
Étape 3 : Surveillance continue et alerting
Assurez-vous que votre système de surveillance vérifie en continu les enregistrements DNS à intervalles réguliers. Configurez des alertes pour être immédiatement informé si :
- Un enregistrement DNS devient inaccessible.
- Le temps de réponse dépasse les limites acceptables.
- Toute activité inhabituelle, comme une augmentation soudaine du temps de réponse ou des modifications d’enregistrements DNS, est détectée.
Étape 4 : Analyse et réponse aux alertes
Lorsqu’une alerte est déclenchée, il est crucial d’avoir un plan de réponse. Celui-ci doit inclure :
- L’identification de la cause du problème (par exemple, panne de serveur, erreur de configuration, attaque DDoS).
- La mise en œuvre d’actions correctives (par exemple, redémarrage des services DNS, mise à jour des configurations DNS, atténuation des attaques).
- La documentation de l’incident et des mesures prises afin de prévenir de futures occurrences.
Bonnes pratiques pour la surveillance DNS
- Redondance : L’utilisation de serveurs DNS dans plusieurs régions aide, mais la véritable résilience provient de l’utilisation de plusieurs fournisseurs DNS avec des infrastructures distinctes afin d’éviter les pannes globales d’un fournisseur. Maintenez les données de zone synchronisées et surveillez chaque fournisseur indépendamment.
- Audits réguliers : Examinez et auditez périodiquement vos configurations DNS pour vous assurer qu’elles sont à jour et sécurisées. Des audits réguliers permettent d’identifier des erreurs de configuration et des vulnérabilités.
- Utiliser le routage Anycast : Cela permet de répartir le trafic DNS sur plusieurs serveurs, améliorant ainsi la disponibilité et les performances.
- Mettre en œuvre DNSSEC : Les extensions de sécurité DNS (DNSSEC) ajoutent une couche de sécurité pour prévenir certains types d’attaques, comme l’usurpation DNS.
- Intégrations : Assurez-vous que vos outils de surveillance DNS peuvent s’intégrer à d’autres services de surveillance réseau et web pour une vue complète de votre infrastructure.
- Notifications : Mettez en place des systèmes de notification robustes pour être alerté immédiatement de tout problème DNS, garantissant une résolution rapide et un temps d’arrêt minimal.
- Dépannage efficace : Développez un guide de dépannage pour traiter et résoudre rapidement les problèmes DNS lorsqu’ils surviennent. Cela inclut la compréhension des requêtes DNS et l’analyse des journaux DNS.
- Solutions SaaS : Envisagez l’utilisation d’outils de surveillance DNS basés sur le SaaS pour une meilleure évolutivité et maintenance.
- Surveillance SSL : Incluez la surveillance SSL dans votre stratégie de surveillance DNS afin de garantir que les certificats SSL sont valides et à jour.
- Prise en charge IPv6 : Assurez-vous que votre infrastructure DNS prend en charge IPv6 afin de répondre aux standards modernes de l’Internet.
- Surveillance des hôtes et des routeurs : Surveillez les noms d’hôtes et les routeurs pour garantir que tous les composants du réseau fonctionnent correctement.
- Surveillance des API et des utilisateurs finaux : Surveillez les API et les interactions des utilisateurs finaux afin d’assurer des performances fluides et une expérience utilisateur optimale.
Conclusion
La surveillance DNS contribue à maintenir la disponibilité, la performance et la sécurité des services exposés sur Internet. En mettant en œuvre des pratiques de surveillance efficaces, vous pouvez garantir la disponibilité, la sécurité et les performances de votre infrastructure DNS. Investir dans les bons outils et processus, tels que des outils de surveillance DNS, des services de surveillance des performances et des tableaux de bord, portera ses fruits en évitant les interruptions, en améliorant l’expérience utilisateur et en protégeant contre les menaces potentielles.
Surveiller régulièrement les performances des serveurs DNS, corriger les vulnérabilités, utiliser la surveillance synthétique pour la détection proactive des problèmes, et intégrer la prise en charge SSL et IPv6 sont des étapes essentielles pour construire une infrastructure DNS résiliente. Assurer un taux de disponibilité élevé grâce à une surveillance continue des serveurs DNS et à des pratiques efficaces de dépannage contribuera à maintenir une présence en ligne fiable et performante.
Foire aux questions
La surveillance DNS vérifie si votre DNS se résout correctement et rapidement (disponibilité, latence, enregistrements corrects). La surveillance de domaine se concentre sur la propriété et la gouvernance — statut d’expiration, changements de registrar/WHOIS, changements de serveurs de noms et abus de domaines similaires.
Pour les noms d’hôtes critiques (domaine racine, www, API, email), exécutez des contrôles toutes les 1–5 minutes depuis plusieurs régions. Pour les enregistrements moins critiques, 5–15 minutes suffisent généralement, et vous pouvez augmenter la fréquence lors des migrations ou des changements DNS.
SERVFAIL est généralement plus urgent car il indique des problèmes côté serveur, des problèmes de validation DNSSEC ou un DNS autoritatif défaillant. NXDOMAIN peut être normal pour des noms inexistants, mais il devient critique s’il apparaît pour des noms d’hôtes censés exister (comme www ou votre API).
Vérifiez d’abord les changements sur les serveurs de noms autoritatifs, puis contrôlez plusieurs résolveurs publics et régions pour voir quand les utilisateurs constateront la mise à jour. Suivez les TTL, car de nombreux « retards de propagation » sont simplement des résultats mis en cache qui ne se mettront pas à jour avant l’expiration du TTL.
Configurez des alertes pour toute modification inattendue des enregistrements critiques (A/AAAA/CNAME/MX/TXT) et surtout des enregistrements NS/DS. Comparez également les réponses DNS entre plusieurs résolveurs/régions et associez-les à des contrôles HTTPS (certificat/contenu) pour confirmer que le trafic n’est pas redirigé.