Project Oxygen & Ideo-LabIDEO LAB Dashboard 2026

⚙️ DNS & DHCP – Adressage IP & Résolution de Noms

Guide complet IDEO-Lab sur les protocoles de "bootstrap" du réseau.

1.1

Le Duo "Bootstrap"

DHCP (Comment ?) vs DNS (Où ?). Séquence de connexion.

DHCP DNS Bootstrap
1.2

DHCP : Processus (DORA)

Discover, Offer, Request, Acknowledge (Broadcast).

DHCP DORA Broadcast
1.3

DHCP : Composants

Pool (Étendue), Lease (Bail - T1/T2), Exclusions.

Pool Lease Scope
2.1

DHCP : Options

Option 003 (Gateway), 006 (DNS), 015 (Domaine).

Options Gateway
2.2

DHCP : Réservation

DHCP Statique (IP fixe basée sur l'adresse MAC).

Réservation MAC
2.3

DHCP : Relais (Relay)

ip helper-address. DHCP inter-VLAN.

DHCP Relay ip helper-address
3.1

DNS : Concept

L'annuaire d'Internet. Résolution Nom -> IP (UDP/TCP 53).

DNS Résolution Port 53
3.2

DNS : Hiérarchie

Serveurs Root (.), TLD (.com), Authoritative (FQDN).

Root TLD Authoritative
3.3

DNS : Types de Serveurs

Récursif (Resolver) vs. Autoritatif (Authoritative).

Resolver 8.8.8.8
4.1

DNS : Types de Requêtes

Récursive (Client -> Resolver) vs. Itérative (Resolver -> Root).

Recursive Iterative
4.2

DNS : Cache & TTL

Mise en cache. Time To Live (TTL) et propagation.

Cache TTL
4.3

DNS : Records (A, AAAA, CNAME)

Adresse IPv4, IPv6, et Alias (Canonical Name).

A AAAA CNAME
5.1

DNS : Records (MX, NS, SOA)

Mail eXchanger, Name Server, Start of Authority.

MX NS SOA
5.2

DNS : Records (TXT, PTR, SRV)

Texte, Reverse DNS (IP -> Nom), Service Locator.

TXT PTR SRV
5.3

DNS & Sécurité Email

SPF, DKIM, DMARC (Lutte anti-spoofing).

SPF DKIM DMARC
6.1

Sécurité DNS

DNSSEC (Intégrité), DoH (HTTPS), DoT (TLS).

DNSSEC DoH DoT
6.2

Sécurité DHCP

Rogue DHCP Server (Attaque), DHCP Snooping (Défense).

DHCP Snooping Rogue DHCP
6.3

Outils Diag (nslookup, dig)

ipconfig, nslookup, dig, host.

nslookup dig ipconfig
1.1 Le Duo "Bootstrap" (DHCP & DNS)
Le Problème (PC Neuf)

Quand vous branchez un nouvel appareil (PC, téléphone) au réseau, il est "ignorant". Il ne sait rien. Pour accéder à http://google.com, il lui manque 4 informations vitales (la configuration IP de Couche 3) :

  1. Mon IP ? (Son identité L3, ex: 192.168.1.50)
  2. Mon Masque ? (Où est mon LAN ?, ex: 255.255.255.0)
  3. Ma Passerelle ? (Où est Internet ?, ex: 192.168.1.1)
  4. Qui est l'annuaire ? (Quelle est l'IP du serveur DNS ?)

DHCP et DNS sont les deux protocoles de Couche 7 (Application) qui résolvent ce problème.

La Séquence de "Bootstrap"

L'ordre est crucial. DHCP vient TOUJOURS avant DNS.

1. [PC] (se branche)
   │
   │ (Broadcast DHCP Discover)
   ▼
2. [SERVEUR DHCP (Routeur)]
   │
   │ (Réponse DHCP Offer/Ack)
   │ (Donne 4 choses :)
   │   - IP: 192.168.1.50
   │   - Masque: 255.255.255.0
   │   - Passerelle: 192.168.1.1
   │   - Serveur DNS: 8.8.8.8
   ▼
3. [PC] (est configuré. L'utilisateur tape google.com)
   │
   │ (Requête DNS vers 8.8.8.8 : "IP de google.com ?")
   ▼
4. [SERVEUR DNS (8.8.8.8)]
   │
   │ (Réponse DNS : "C'est 142.250.179.196")
   ▼
5. [PC]
   │
   │ (Requête HTTP vers 142.250.179.196 via la Passerelle 192.168.1.1)
   ▼
6. [INTERNET]
1.2 DHCP : Processus DORA

DHCP (Dynamic Host Configuration Protocol) est le protocole (L7, sur UDP 67/68) qui automatise l'assignation de la configuration IP. Le processus de négociation s'appelle DORA.

Il utilise des Broadcasts (L2: FF:FF:FF:FF:FF:FF, L3: 255.255.255.255) car le client n'a pas encore d'IP.

ÉtapeNomSource (Client)DestinationDescription
DDiscover0.0.0.0 (MAC Client)Broadcast (255.255.255.255)"Je suis nouveau. Y a-t-il un serveur DHCP pour m'aider ?" (Port UDP 67)
OOfferIP Serveur (ex: 192.168.1.1)Unicast (ou Broadcast)"Salut ! Je te propose l'IP 192.168.1.50." (Port UDP 68)
RRequest0.0.0.0 (MAC Client)Broadcast"OK, j'accepte l'offre du serveur 192.168.1.1 !" (En broadcast, pour informer les autres serveurs que leurs offres sont rejetées).
AAcknowledgeIP Serveur (192.168.1.1)Unicast (ou Broadcast)"Parfait. C'est officiel. L'IP 192.168.1.50 est à toi pour 24h (Bail)."
1.3 DHCP : Composants (Pool, Lease)
DHCP Pool (Étendue / Scope)

C'est la plage d'adresses IP que le serveur est autorisé à distribuer. C'est le cœur de la configuration du serveur DHCP.

Exclusions

Il est crucial d'exclure de la plage les adresses IP utilisées en statique (ex: l'IP du routeur, les IPs des serveurs, les IPs réservées).

Configuration (Exemple) :
Réseau : 192.168.1.0/24

Passerelle : 192.168.1.1 (Statique)
Serveur DNS : 192.168.1.10 (Statique)
Imprimante : 192.168.1.20 (Statique ou Réservée)

Pool DHCP (Scope) :
 - Début : 192.168.1.100
 - Fin :   192.168.1.200

Plage d'exclusion : 192.168.1.1 à 192.168.1.99
DHCP Lease (Bail)

L'adresse IP n'est pas donnée "à vie", elle est prêtée. La durée de ce prêt est le Bail (Lease).

  • Réseau Filaire (Entreprise) : Bail long (ex: 8 jours).
  • Réseau Wi-Fi (Invité/Public) : Bail court (ex: 1 heure ou 24 heures) pour recycler rapidement les IPs.
Renouvellement (Timers T1 & T2)

Le client tente de renouveler son bail avant qu'il n'expire :

  • Timer T1 (50% du bail) : Le client envoie une Request (Unicast) au serveur DHCP d'origine pour prolonger.
  • Timer T2 (87.5% du bail) : Si T1 échoue, le client envoie une Discover (Broadcast) pour trouver un *nouveau* serveur DHCP.
2.1 DHCP : Options

DHCP ne fournit pas seulement une IP. Il fournit un ensemble complet d'Options (paramètres) nécessaires au client pour fonctionner.

L'administrateur configure ces options au niveau du "Scope" (Pool) sur le serveur DHCP.

Options les plus Courantes
Option (N°)NomDescriptionExemple de Valeur
003Router (Passerelle)La passerelle par défaut (Default Gateway) que le client doit utiliser.192.168.1.1
006DNS ServersLa (ou les) adresse(s) IP des serveurs DNS que le client doit interroger.8.8.8.8, 1.1.1.1
015Domain NameLe suffixe DNS du réseau (ex: "ideolab.local").ideolab.local
001Subnet MaskLe masque de sous-réseau.255.255.255.0
042NTP ServersServeurs de temps (Network Time Protocol).pool.ntp.org
2.2 DHCP : Réservation (DHCP Statique)
Le Problème (Serveurs & Imprimantes)

Certains appareils (Imprimantes, NAS, Serveurs) doivent avoir une adresse IP fixe (qui ne change jamais) pour être facilement accessibles.

Option 1 (Statique Manuelle) : Configurer l'IP manuellement sur l'imprimante. (Gênant : si le DNS change, il faut reconfigurer l'imprimante).

Option 2 (Réservation DHCP) : La meilleure méthode.

Fonctionnement (Réservation)

Une Réservation est une règle sur le serveur DHCP qui lie (mappe) une Adresse MAC (Couche 2) à une Adresse IP (Couche 3) spécifique.

Configuration sur le Serveur DHCP :
Règle : "Réservation pour 'Imprimante-Compta'"
MAC : 00:AA:BB:CC:DD:EE
IP :  192.168.1.10

Flux :
1. L'imprimante (MAC: 00:AA:BB...) envoie un DHCP Discover.
2. Le serveur DHCP voit cette MAC.
3. Il consulte ses réservations AVANT son pool.
4. Il trouve la règle et répond :
   "Offer : Ton IP est 192.168.1.10."

Avantage : L'imprimante reste en "mode DHCP" (auto), mais reçoit toujours la même IP. La gestion est centralisée sur le serveur DHCP.

2.3 DHCP : Relais (Relay / ip helper-address)
Le Problème : Routage & Broadcasts

Le processus DORA (Discover/Request) utilise des Broadcasts (255.255.255.255). Les Routeurs (par définition) ne transfèrent pas (bloquent) les Broadcasts.

Si vous avez des VLANs (ex: VLAN 10, 20, 30) et un seul serveur DHCP (centralisé, ex: dans le VLAN 99), les clients du VLAN 10 ne pourront jamais le joindre (leur broadcast sera bloqué par le routeur L3).

La Solution : Agent de Relais DHCP

C'est une fonction (un "helper") configurée sur la passerelle (SVI ou interface de routeur) du client.

Commande Cisco : ip helper-address [IP_du_Serveur_DHCP]

Fonctionnement
1. [Client (VLAN 10)] -> (Broadcast DORA)
2. [Routeur/SVI (VLAN 10)] intercepte le broadcast.
3. Le "helper-address" (configuré sur l'interface VLAN 10)
   convertit le paquet broadcast en Unicast.
4. [Routeur] -> (Unicast) -> [Serveur DHCP (VLAN 99)]
   (Le paquet contient l'IP source du routeur (VLAN 10)
   pour que le serveur sache de quel pool piocher).
5. [Serveur DHCP] -> (Unicast) -> [Routeur]
6. [Routeur] -> (Broadcast/Unicast) -> [Client (VLAN 10)]
3.1 DNS : Concept (Domain Name System)
L'Annuaire d'Internet

Les ordinateurs communiquent avec des adresses IP (Couche 3, ex: 142.250.179.196). Les humains préfèrent les noms (Couche 7, ex: google.com).

Le DNS est le système (un service/protocole de Couche 7) qui traduit (résout) les noms de domaine en adresses IP.

C'est une base de données mondiale, distribuée et hiérarchique.

Protocole (UDP/TCP 53)

DNS est un protocole Applicatif (L7) qui utilise deux protocoles de Transport (L4) :

UDP Port 53 (Défaut, Rapide)
  • Utilisé pour 99% des requêtes (Client -> Serveur).
  • Pourquoi ? La requête ("IP de google.com ?") et la réponse ("1.2.3.4") sont très petites.
  • Utiliser UDP (non-fiable, pas de handshake) est beaucoup plus rapide que d'établir une connexion TCP pour une si petite transaction.
TCP Port 53 (Fiable)
  • Utilisé quand la réponse DNS est trop grosse (dépasse 512 octets (legacy) ou la limite EDNS).
  • Utilisé pour les Transferts de Zone (AXFR/IXFR) : La synchronisation complète de la base de données entre un serveur DNS Maître (Autoritatif) et un serveur Esclave. (Fiabilité requise).
3.2 DNS : Hiérarchie

Le DNS n'est pas une seule base de données ; c'est une base de données hiérarchique et distribuée mondiale, sous forme d'arbre inversé.

La Hiérarchie
                     . (Root)
        ┌────────────┴────────────┐
      .com (TLD)                .fr (TLD)
    ┌────┴────┐               ┌────┴────┐
google.com  ideolab.com    ovh.fr    lemonde.fr
(Authoritative)
    │
www.google.com (Host/Record)
  • 1. Serveurs Root (.) : (13 clusters dans le monde). Ne connaissent rien, sauf où trouver les serveurs TLD.
  • 2. Serveurs TLD (Top-Level Domain) : (gérés par des registres, ex: Verisign pour .com). Ne connaissent que les serveurs Autoritaires pour chaque domaine.
  • 3. Serveurs Autoritaires (Authoritative) : (gérés par vous/votre hébergeur, ex: OVH, AWS Route 53). C'est là que vous créez vos enregistrements (A, MX, CNAME...).
FQDN (Fully Qualified Domain Name)

Un FQDN est le nom complet, incluant le point final (la racine). (ex: www.google.com.).

3.3 DNS : Types de Serveurs
Serveur DNS Récursif (Resolver)

Rôle : L'intermédiaire, le "chercheur". C'est le serveur que votre PC interroge (ex: 8.8.8.8 de Google, 1.1.1.1 de Cloudflare, ou votre FAI).

Il ne possède pas de données (sauf son cache).

Son travail : Recevoir une requête récursive du client ("Trouve-moi ça") et faire des requêtes itératives (Root, TLD...) pour trouver la réponse.

Serveur DNS Autoritatif (Authoritative)

Rôle : La "source officielle". C'est le serveur qui possède et héberge les enregistrements (A, MX, CNAME...) pour un domaine spécifique (ex: ns1.ideolab.com).

Il ne répond que pour les zones qu'il héberge. Il ne fait pas de récursion pour les autres domaines.

4.1 DNS : Requêtes (Recursive vs Iterative)
Requête Récursive (Recursive Query)

Effectuée par le Client (Stub Resolver) vers son Serveur DNS Récursif (ex: 8.8.8.8).

Analogie : "S'il te plaît, trouve-moi l'IP de www.google.com. Fais tout le travail et donne-moi la réponse finale. J'attends."

Le serveur récursif (s'il n'a pas la réponse en cache) doit alors effectuer des requêtes itératives.

Requête Itérative (Iterative Query)

Effectuée par le Serveur Récursif vers la hiérarchie DNS (Root, TLD...).

Analogie : Le serveur récursif "itère" :

  1. [Récursif] -> [Root] : "Où est .com ?"
  2. [Root] -> [Récursif] : "Je ne sais pas. Demande au serveur TLD .com (IP: B)."
  3. [Récursif] -> [TLD .com] : "Où est google.com ?"
  4. [TLD .com] -> [Récursif] : "Je ne sais pas. Demande à ns1.google.com (IP: C)."
  5. [Récursif] -> [ns1.google.com] : "Où est www.google.com ?"
  6. [ns1.google.com] -> [Récursif] : "C'est 142.250.179.196." (Réponse autoritative).
4.2 DNS : Cache & TTL
Le Problème de Performance

Le processus de résolution itératif (Root -> TLD -> Auth) est long (plusieurs ms). Si chaque appareil devait le faire pour chaque requête, Internet serait inutilisable.

La Solution : Le Cache

Le DNS repose massivement sur la mise en cache. Une fois qu'un serveur Récursif (ex: 8.8.8.8) a trouvé l'IP de google.com, il la stocke dans sa mémoire (cache).

Le prochain utilisateur qui demande google.com reçoit la réponse instantanément depuis le cache du résolveur.

Niveaux de Cache
  • Cache Navigateur (Chrome)
  • Cache OS (Windows, Mac) (ipconfig /displaydns)
  • Cache Résolveur (8.8.8.8)
TTL (Time To Live)

Comment le cache sait-il quand l'enregistrement expire ? Grâce au TTL.

Le TTL est une valeur (en secondes) fixée par l'administrateur (sur le serveur Autoritatif) pour chaque enregistrement. C'est la "date de péremption".

Enregistrement : www.ideolab.com.  A  3600  1.2.3.4
(Nom)          (Type) (TTL) (Valeur)
  • TTL 3600 (1 heure) : (Courant) Le résolveur (8.8.8.8) garde 1.2.3.4 en cache pendant 1 heure.
  • TTL 60 (1 min) : (Migration) Utilisé avant un changement d'IP de serveur, pour forcer les résolveurs à rafraîchir rapidement le cache (réduire le temps de propagation).
4.3 DNS : Enregistrements (A, AAAA, CNAME)
A (Address) - IPv4

Le record le plus fondamental. Il mappe un nom d'hôte (ex: www) à une adresse IPv4 (32 bits).

www   A   3600   142.250.179.196
AAAA (Quad-A) - IPv6

L'équivalent du record A, mais pour l'adresse IPv6 (128 bits).

www   AAAA   3600   2a00:1450:4007::200e
CNAME (Canonical Name) - Alias

Un CNAME mappe un nom d'hôte (un "alias") vers un autre nom d'hôte (le nom "canonique" ou "vrai" nom).

Usage : Très utile lorsque plusieurs services pointent vers la même machine, ou lorsque la destination est gérée par un tiers (ex: GitHub Pages, Heroku).

; Cible est un service externe
blog   CNAME   3600   ghs.googlehosted.com.
ftp    CNAME   3600   www.ideolab.com.

; Le client demandant "ftp.ideolab.com"
; recevra une réponse CNAME.
; Il devra refaire une requête DNS pour "www.ideolab.com"
; afin d'obtenir l'IP.

Règle : Si un hôte a un CNAME (ex: "blog"), il ne peut pas avoir d'autres records (comme MX ou A). C'est pourquoi le domaine "racine" (ideolab.com) ne peut généralement pas être un CNAME (car il doit avoir des records NS et SOA).

5.1 DNS : Enregistrements (MX, NS, SOA)
TypeNom CompletDescription
MXMail eXchangerIndique quels serveurs (noms d'hôte) sont responsables de la réception des emails pour ce domaine. Inclut une Priorité (le chiffre le plus bas est testé en premier).
NSName Server(Délégation) Indique quels sont les serveurs de noms autoritatifs pour ce domaine. (C'est la réponse que le TLD .com donne au résolveur).
SOAStart of Authority(L'acte de naissance de la zone) Enregistrement obligatoire. Définit l'email de l'admin, le serveur NS primaire, et les timers de synchronisation (Refresh, Retry, Expire) pour les serveurs secondaires.
Exemple MX
; Un serveur d'envoi (ex: Orange) veut envoyer
; un email à "contact@ideolab.com".
; Il demande le record MX de "ideolab.com"

ideolab.com.   MX   10   aspmx.l.google.com.
ideolab.com.   MX   20   alt1.aspmx.l.google.com.

; (Il essaie d'abord le 10. Si échec, il essaie le 20)
5.2 DNS : Enregistrements (TXT, PTR, SRV)
TypeNom CompletDescription
TXTTextePermet d'associer une chaîne de texte arbitraire à un domaine. Très utilisé pour les vérifications (Google Site Verification) et les politiques de sécurité email (SPF, DKIM, DMARC).
PTRPointer (Pointeur)Reverse DNS (DNS Inversé). Mappe une IP vers un Nom (l'inverse d'un record A).
(ex: 196.179.250.142.in-addr.arpa. PTR dns.google.)
SRVService Locator(Avancé) Spécifie l'hôte, le port et la priorité d'un service (au lieu de juste une IP). Utilisé par des protocoles comme LDAP, XMPP (Jabber), ou VoIP (SIP).
5.3 DNS & Sécurité Email (SPF, DKIM, DMARC)

Ces 3 enregistrements (de type TXT) sont essentiels pour empêcher le Spoofing (usurpation d'email) et améliorer la délivrabilité.

SPF (Sender Policy Framework)

Question : "Qui a le droit d'envoyer en mon nom ?"

Un enregistrement TXT qui liste les serveurs (IPs) autorisés à envoyer des emails pour @ideolab.com.

_spf.ideolab.com. TXT "v=spf1 include:_spf.google.com include:sendgrid.net ~all"

Vérification : Le serveur de réception (Gmail) regarde l'IP de l'expéditeur. Si elle n'est pas dans la liste SPF, l'email est suspect (Spam).

DKIM (DomainKeys Identified Mail)

Question : "L'email a-t-il été altéré (Intégrité) ?"

Utilise la cryptographie asymétrique (Clé Publique/Privée).

  1. Le serveur d'envoi (Google) signe l'email (en-têtes + corps) avec une clé privée.
  2. Il publie la clé publique dans un record TXT/DKIM (ex: google._domainkey.ideolab.com).
  3. Le récepteur (Gmail) récupère la clé publique (DNS) et vérifie la signature.
DMARC (Domain-based Message Authentication...)

Question : "Que faire si SPF ou DKIM échouent ?"

C'est la politique qui lie SPF et DKIM.

_dmarc.ideolab.com. TXT "v=DMARC1; p=reject; rua=mailto:reports@ideolab.com"
  • p=none : Ne rien faire (Monitoring).
  • p=quarantine : Mettre en Spam.
  • p=reject : Rejeter l'email. (Objectif final).
  • rua= : Envoyer des rapports d'agrégat.
6.1 Sécurité DNS
DNSSEC (Domain Name System Security Extensions)

Problème : Le DNS (UDP 53) est en texte clair et non authentifié. Il est vulnérable au "Cache Poisoning" ou "DNS Spoofing" (MITM) où un attaquant donne une fausse IP (ex: ip-de-banque.com -> IP_Pirate).

Solution : DNSSEC valide l'Intégrité et l'Authenticité de la réponse (pas la confidentialité).

Il utilise des signatures numériques (Clés Publiques/Privées, comme DKIM) pour créer une "chaîne de confiance" (DS et RRSIG records) du Root jusqu'à votre enregistrement A. Le résolveur vérifie cette signature.

DoH (DNS over HTTPS) & DoT (DNS over TLS)

Problème : DNSSEC valide la réponse, mais la requête (UDP 53) est toujours en texte clair. Votre FAI (ou un attaquant sur un Wi-Fi public) peut "voir" tous les sites que vous visitez (Confidentialité).

Solution (Chiffrement)
  • DoT (DNS over TLS) : Encapsule la requête DNS dans un tunnel TLS dédié (Port 853).
  • DoH (DNS over HTTPS) : (Le plus populaire) Encapsule la requête DNS dans une requête HTTPS (Port 443).
    • Avantage : Indiscernable du trafic web normal (HTTPS 443). Contourne les firewalls qui bloquent le Port 853. (Intégré dans Firefox, Chrome, Windows).
6.2 Sécurité DHCP
L'Attaque : "Rogue DHCP Server"

DHCP est basé sur la confiance et le broadcast. Un attaquant peut facilement brancher un routeur (ex: Raspberry Pi) sur le réseau.

1. [Client (Victime)] -> (Broadcast DHCP Discover)

2. [Vrai Serveur DHCP] -> "Offer: 192.168.1.50"
   [Serveur Pirate (Rogue)] -> "Offer: 192.168.1.51" (Répond plus vite)

3. [Client] -> "Request: J'accepte l'offre du Pirate !"

4. [Serveur Pirate] -> "Ack: OK. Ton IP est 192.168.1.51,
                       et ta Passerelle (Gateway) est [IP_Pirate].
                       et ton DNS est [DNS_Pirate]."

Résultat : Attaque Man-in-the-Middle (MITM) complète. Tout le trafic du client passe par l'attaquant.

La Défense : DHCP Snooping

C'est une fonctionnalité de Switch (L2) Manageable.

Fonctionnement : On configure les ports du switch :

  • Ports "Untrusted" (Non fiables) : (Défaut) Tous les ports "clients" (PC, Invités).
  • Ports "Trusted" (Fiables) : Le(s) port(s) "Trunk" menant au vrai serveur DHCP.

Action : Le switch bloque tous les messages "DHCP Offer" et "DHCP Ack" (messages de serveur) arrivant sur un port "Untrusted".

L'attaquant (branché sur un port "Untrusted") ne peut plus envoyer d'offres.

6.3 Outils de Diagnostic (CLI)
ipconfig (Windows) / ip addr (Linux)

Affiche la configuration IP (statique ou DHCP) de la machine.

C:\> ipconfig /all
   Adresse IPv4. . . . . . . . : 192.168.1.50(Préféré)
   Masque de sous-réseau . . . : 255.255.255.0
   Bail obtenu . . . . . . . . : (Date/Heure)
   Bail expirant . . . . . . . : (Date/Heure)
   Passerelle par défaut . . . : 192.168.1.1
   Serveur DHCP. . . . . . . . : 192.168.1.1
   Serveurs DNS. . . . . . . . : 8.8.8.8, 1.1.1.1
Gestion du Cache DNS (Windows)
# Vider le cache DNS local
C:\> ipconfig /flushdns

# Afficher le cache DNS local
C:\> ipconfig /displaydns

# Renouveler le bail DHCP
C:\> ipconfig /release
C:\> ipconfig /renew
nslookup (Name Server Lookup)

Outil standard (Windows, Linux, Mac) pour interroger un serveur DNS.

# 1. Résolution simple (utilise le DNS par défaut)
C:\> nslookup google.com
Serveur :   dns.google
Address:   8.8.8.8
...
Nom :     google.com
Adresses : 2a00:1450:4007:812::200e
          142.250.179.196

# 2. Interroger un type (MX)
C:\> nslookup -type=MX google.com
...
google.com      MX preference = 10, mail exchanger = smtp.google.com.

# 3. Interroger un serveur spécifique
C:\> nslookup google.com 1.1.1.1
(Utilise Cloudflare au lieu du DNS par défaut)
dig (Domain Information Groper)

(Linux/Mac) L'outil préféré des administrateurs, beaucoup plus verbeux et précis.

# 1. Résolution A (par défaut)
$ dig google.com
...
;; QUESTION SECTION:
;google.com.                    IN      A
;; ANSWER SECTION:
google.com.             180     IN      A       142.250.186.78
...

# 2. Résolution MX
$ dig google.com MX
...
;; ANSWER SECTION:
google.com.             3600    IN      MX      10 smtp.google.com.
...

# 3. Interroger un serveur spécifique
$ dig @1.1.1.1 google.com

# 4. Voir le chemin (ANY +trace)
$ dig google.com +trace
(Montre la résolution Root -> TLD -> Auth)
Cheat-sheet : Types d'Enregistrements DNS
TypeNom CompletDescription
AAddress (Hôte)Mappe un nom vers une Adresse IPv4.
AAAAAddress (Hôte)(Quad-A) Mappe un nom vers une Adresse IPv6.
CNAMECanonical Name (Alias)Mappe un nom (alias) vers un autre nom (le "vrai" nom).
MXMail eXchangerIndique quels serveurs (noms d'hôte) sont responsables de la réception des emails.
NSName Server(Délégation) Indique quels sont les serveurs de noms autoritatifs pour ce domaine.
SOAStart of AuthorityDéfinit les paramètres de la zone (Maître, Timers de synchronisation).
TXTTexteTexte libre. Utilisé pour les vérifications et les politiques (SPF, DKIM, DMARC).
PTRPointer (Pointeur)Reverse DNS. Mappe une IP vers un Nom (dans la zone in-addr.arpa).
SRVService LocatorSpécifie l'hôte, le port et la priorité d'un service (ex: LDAP, SIP, Minecraft).