Le rapport de ThousandEyes sur les performances DNS globales mesure les performances de trois infrastructures DNS : des fournisseurs DNS gérés, des résolveurs publics et des racines globales. Il est conçu pour fournir des données aux entreprises et aux fournisseurs de logiciels en tant que service (SaaS) sur une infrastructure essentielle à l’expérience numérique. Il fournit une étude ponctuelle des performances pouvant être utilisée pour faire des choix de fournisseurs et suivre les changements au fil du temps. Le rapport inclut également des conclusions sur l'état du déploiement du DNS chez les fournisseurs d'entreprise et SaaS.Dans son édition 2018, ThousandEyes a commencé par rappeler quelques éléments, notamment sur ce qu’est un DNS :
« Le DNS est le système qui mappe les noms de domaine conviviaux aux adresses IP. Les mappages sont gérés via des serveurs distribués organisés hiérarchiquement qui fonctionnent ensemble pour résoudre les requêtes des utilisateurs. Au sommet de la hiérarchie DNS se trouvent les serveurs racine. Ce sont des serveurs accessibles au public distribués dans le monde entier qui fournissent des pointeurs vers les serveurs de domaine de niveau supérieur (par exemple, «.com»), qui ensuite fournissent des pointeurs vers des domaines de second niveau (par exemple, exemple.com), etc., jusqu'à ce que la requête d'un utilisateur atteigne un serveur faisant autorité pour le domaine dans lequel l'enregistrement existe.Le serveur faisant autorité fournit l'enregistrement qui répond à la requête de l'utilisateur.
« Un résolveur DNS interagit avec différents niveaux de la hiérarchie DNS et s'efforce de résoudre les requêtes pour le compte des utilisateurs. Lorsque le système d’un utilisateur demande l’enregistrement d’un domaine, le résolveur lui envoie immédiatement une réponse s’il a déjà mis en cache l’enregistrement. Si le résolveur n'a pas l'enregistrement, il interagira de manière itérative avec l'infrastructure DNS pour le récupérer ».
Pour illustrer l’impact que peut avoir la sécurité dans ce domaine, le rapport a rappelé que le 21 octobre 2016, le fournisseur DNS géré Dyn a subi une attaque massive par DDoS. L'impact de cette attaque allait bien au-delà de Dyn. Des entreprises telles qu'Amazon, Netflix, Airbnb, Business Insider, Comcast et bien d'autres ont effectivement été « effacées » d'Internet pour de nombreux utilisateurs. L'attaque a révélé la vulnérabilité de nombreuses entreprises à la perturbation des services ; bien que leurs applications n’en étaient pas affectées, les utilisateurs étaient incapables d’y accéder en ligne en utilisant le DNS. Le rapport précise que les utilisateurs ne pouvaient pas accéder à leurs sites parce que ces entreprises ne comptaient que sur Dyn pour héberger leurs enregistrements DNS faisant autorité. Lorsque Dyn est tombé en panne, toute leur présence en ligne a été réduite.
La nécessité d’un DNS résistant dans toute entreprise en ligne ne peut être sous-estimée. Par analogie, si une entreprise investissait des dizaines de millions de dollars dans la construction d'un centre de données, il serait impensable de ne pas inclure une alimentation de secours et des connexions Internet redondantes dans la conception. En outre, une leçon classique apprise sur la connectivité redondante vise à assurer la diversité non seulement des opérateurs ou des fournisseurs de services Internet, mais également des installations physiques (fibre, points de présence) utilisées pour cette connectivité. Ce même principe s'applique à la présence en ligne et au DNS. Les entreprises investissent des dizaines de millions de dollars pour construire et se développer une marque en ligne. Concevoir cette présence en ligne sans hébergement redondant et diversifié de leurs enregistrements DNS faisant autorité revient à assumer un risque très élevé pour les revenus et la réputation de la marque
Selon l’édition 2018, les meilleures pratiques en matière de DNS ne sont pas répandues dans les grandes entreprises et les fournisseurs SaaS, ce qui les laisse inutilement vulnérables. Ainsi, 68% des 50 plus grandes entreprises du classement Fortune 500 ne sont pas suffisamment préparées pour la prochaine attaque DNS majeure.
Il en ressort également que les performances DNS varient considérablement selon les fournisseurs de résolveur public et les fournisseurs gérés dans les régions et les pays. Parmi les quinze fournisseurs de DNS publics mesurés, les nouveaux arrivants Cloudflare ont obtenu les performances globales les plus rapides, suivis par Google et OpenDNS, qui ont tous deux amélioré leurs performances lors de l'analyse 2017 de ThousandEyes.
« Amazon est un exemple de société qui a implémenté la redondance DNS après Dyn. Pour son site de commerce en ligne, Amazon.com, il utilise deux fournisseurs externes: Dyn et UltraDNS. Outre la redondance, il a choisi de ne pas utiliser son propre service DNS, Route 53, mais plutôt la diversité architecturale afin de réduire les risques de déconnexion. Paradoxalement, de nombreuses sociétés SaaS hébergeant AWS utilisent Route 53 en tant que fournisseur unique faisant autorité, rompant avec les meilleures pratiques et avec le propre exemple d’Amazon », souligne le rapport.
Situation par régions
En Europe, en Amérique du Nord et en Océanie (Australie et Nouvelle-Zélande), plusieurs services ont affiché de solides performances avec des temps de résolution moyens inférieurs à 30 millisecondes. En Asie, la majorité des services DNS gérés offraient des performances comprises entre 40 et 70 millisecondes. En Amérique du Sud et en Afrique, la majorité des DNS gérés prend en moyenne plus de cent millisecondes pour résoudre une requête. Compte tenu de ces variations, une bonne règle empirique pour la performance cible en Europe, en Amérique du Nord et en Océanie devrait être inférieure à 30 millisecondes, tandis que dans les autres régions, 50 millisecondes ou moins est un objectif de performance plus réaliste.
En examinant les DNS gérés par pays, le rapport a souligné de nouvelles variations significatives des performances. En règle générale, comme le montre le tableau 3, les performances des pays d'Amérique du Sud et de certaines régions d'Asie sont loin d'être idéales, ce qui n'est pas surprenant étant donné que nombre de ces pays ont des infrastructures Internet moins matures et moins stables. L'Afrique du Nord et certaines régions du Moyen-Orient affichent également des performances extrêmement médiocres. Ces fourchettes par pays peuvent aider les entreprises à définir des objectifs de performance plus spécifiques.
Bien que les fournisseurs SaaS ou les entreprises proposant du commerce électronique ou d'autres sites Web destinés aux clients ne puissent pas influencer le résolveur DNS choisi par leurs utilisateurs, la connaissance des attentes en matière de performances régionales peut s'avérer utile pour conseiller et assister les clients. Par exemple, aux États-Unis, une résolution moyenne d’environ 15 ms est à prévoir, tandis qu’en Colombie, un temps de résolution moyen de 50 ms serait considéré comme une bonne performance.
Les systèmes sociaux et politiques créent également de l'imprévisibilité, car les variations de performances du DNS sont liées aux pays connus pour interférer avec le comportement Internet, et les contrôles de la technologie créent des risques pour les activités numériques dans certaines régions.
« Sans le DNS, Internet n'existe pas. C'est ainsi que les utilisateurs trouvent les applications, les sites et les services d'une entreprise sur Internet. Un problème de performance du DNS ou une attaque peut avoir un impact critique sur l'expérience client, les revenus et la réputation de la marque », a déclaré Angélique Medina, responsable marketing produit chez ThousandEyes. « Le rapport ThousandEyes met en évidence des informations vitales pouvant aider les organisations à concevoir une infrastructure DNS plus efficace, car même les décisions les plus élémentaires concernant le DNS peuvent déterminer la manière dont l'application ou le service d'une entreprise, et en définitive la perception de sa marque, sont perçus ».
Source : rapport en PJ (au format PDF)
Voir aussi :
Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudfare Cloudfare étoffe 1.1.1.1, son offre de service DNS grand public supposé respectueux de la vie privée, d'un résolveur sur le réseau Tor Cloudfare lance 1.1.1.1, son résolveur DNS rapide, sécurisé et respectueux de la vie privée Mozilla prévoit de lancer un Shield Study de DNS over HTTPS sur Firefox Nightly, mais la forme suscite la controverse même au sein de ses équipes La Russie travaille à la mise sur pied d'une infrastructure DNS à l'usage des BRICS, regards braqués sur août 2018