Comment Détecter les Changements DNS

Surveillez vos enregistrements DNS et soyez alerté de toute modification suspecte.

Les enregistrements DNS sont les fondations invisibles de votre présence en ligne. Ils dirigent le trafic vers vos serveurs, acheminent vos emails, et valident vos certificats SSL. Un changement DNS non détecté peut rediriger tout votre trafic vers un serveur malveillant, interrompre vos emails, ou invalider votre HTTPS - le tout sans que votre serveur principal ne soit affecté.

Le danger du DNS réside dans sa discrétion. Contrairement à un serveur qui tombe, un changement DNS peut passer inaperçu pendant des heures, voire des jours. Vos utilisateurs sont redirigés ailleurs, vos emails n'arrivent plus, mais votre monitoring HTTP classique ne détecte rien car il ne surveille pas la bonne chose.

MoniTao surveille vos enregistrements DNS en continu et vous alerte instantanément en cas de modification. Que ce soit une migration légitime que vous avez oubliée ou une attaque de type DNS hijacking, vous êtes informé avant que les dégâts ne s'accumulent.

Signes d'un Changement DNS Non Voulu

Plusieurs symptômes peuvent révéler qu'un changement DNS a eu lieu sans votre autorisation :

  • Site inaccessible ou différent : Votre site fonctionne normalement depuis votre serveur, mais les utilisateurs voient une page différente ou une erreur. Le DNS pointe ailleurs.
  • Emails qui disparaissent : Les emails envoyés à votre domaine ne vous parviennent plus. Les enregistrements MX ont peut-être été modifiés, redirigeant vos emails vers un autre serveur.
  • Certificat SSL invalide : Votre certificat Let's Encrypt ne se renouvelle plus car la validation DNS échoue. Ou pire, un certificat frauduleux a été émis pour votre domaine.
  • Plaintes de phishing : Vos clients reçoivent des emails de phishing "de votre part", ou voient des pages de connexion frauduleuses sur votre domaine. Le DNS a été détourné.

Causes des Changements DNS

Un changement DNS peut avoir des origines légitimes ou malveillantes :

  • Migration serveur oubliée : Vous ou un collègue avez migré vers un nouveau serveur et mis à jour les DNS sans documenter. La modification est légitime mais non communiquée.
  • Compromission du compte registrar : Un attaquant a obtenu l'accès à votre compte chez le registrar (OVH, Gandi, GoDaddy...) et modifié vos DNS pour rediriger le trafic.
  • Expiration du domaine : Votre domaine a expiré et a été récupéré par quelqu'un d'autre. Les DNS pointent maintenant vers leurs serveurs.
  • Attaque man-in-the-middle : Une attaque DNS hijacking redirige votre trafic vers un serveur contrôlé par l'attaquant pour voler des credentials ou injecter du contenu malveillant.

Vérifier vos DNS Manuellement

Voici comment diagnostiquer rapidement l'état de vos enregistrements DNS :

  1. Utilisez dig ou nslookup : Exécutez dig example.com A ou nslookup example.com pour voir l'IP actuelle. Comparez avec l'IP attendue de votre serveur.
  2. Vérifiez les MX : Exécutez dig example.com MX pour voir où sont routés vos emails. Confirmez que c'est bien votre serveur mail.
  3. Testez depuis plusieurs localisations : Utilisez des outils comme whatsmydns.net pour vérifier les DNS depuis différents pays. Un résultat incohérent peut indiquer une propagation en cours ou une attaque.
  4. Consultez l'historique : Des services comme SecurityTrails ou DNSHistory montrent l'historique des modifications DNS de votre domaine.

Script de Vérification DNS

Voici un script simple pour vérifier vos enregistrements DNS :

#!/bin/bash
# Vérification DNS basique

DOMAIN="example.com"
EXPECTED_IP="93.184.216.34"

echo "=== Vérification DNS pour $DOMAIN ==="

# Récupérer l'IP actuelle
CURRENT_IP=$(dig +short $DOMAIN A | head -1)

echo "IP attendue: $EXPECTED_IP"
echo "IP actuelle: $CURRENT_IP"

if [ "$CURRENT_IP" = "$EXPECTED_IP" ]; then
    echo "✅ DNS OK"
else
    echo "❌ ALERTE: DNS modifié!"
    echo "L'IP a changé de $EXPECTED_IP vers $CURRENT_IP"
fi

# Vérifier les MX
echo ""
echo "=== Enregistrements MX ==="
dig +short $DOMAIN MX

# Vérifier les NS
echo ""
echo "=== Serveurs de noms ==="
dig +short $DOMAIN NS

Ce script vérifie que l'IP de votre domaine correspond à celle attendue. Avec MoniTao, cette vérification est automatisée et vous êtes alerté instantanément en cas de changement.

Bonnes Pratiques de Protection DNS

Protégez vos DNS contre les modifications non autorisées :

  • Sécurisez votre compte registrar : Activez la double authentification (2FA), utilisez un mot de passe fort unique, et vérifiez régulièrement les accès. C'est la première ligne de défense.
  • Verrouillez le transfert de domaine : Activez le "transfer lock" chez votre registrar pour empêcher un transfert non autorisé vers un autre registrar.
  • Surveillez avec MoniTao : Créez un monitor DNS pour vos enregistrements critiques (A, MX, NS). Vous serez alerté dès qu'une modification est détectée.
  • Documentez vos configurations : Maintenez une liste à jour de tous vos enregistrements DNS et leurs valeurs attendues. Utile pour détecter les anomalies et pour la récupération en cas d'incident.

Checklist Sécurité DNS

  • Monitor DNS MoniTao créé pour le domaine principal
  • Enregistrements A, MX, et NS surveillés
  • Compte registrar protégé par 2FA
  • Verrouillage de transfert de domaine activé
  • Email de contact registrar à jour et surveillé
  • Documentation des valeurs DNS attendues à jour

Questions Fréquentes sur le Monitoring DNS

Quelle est la différence entre monitoring HTTP et monitoring DNS ?

Le monitoring HTTP vérifie que votre serveur répond correctement. Le monitoring DNS vérifie que les enregistrements de nom de domaine pointent vers la bonne destination. Un site peut être DOWN en HTTP mais OK en DNS (serveur crash), ou OK en HTTP mais compromis en DNS (hijacking).

Un changement DNS affecte-t-il immédiatement tous les utilisateurs ?

Non, la propagation DNS peut prendre de quelques minutes à 48 heures selon le TTL (Time To Live) configuré. Pendant cette période, certains utilisateurs verront l'ancienne configuration, d'autres la nouvelle.

Comment protéger mon domaine contre le DNS hijacking ?

Plusieurs mesures combinées : 2FA sur le compte registrar, verrouillage de transfert, surveillance MoniTao pour détection rapide, et DNSSEC si votre registrar le supporte.

Puis-je surveiller les DNS de sous-domaines ?

Oui, créez un monitor DNS distinct pour chaque sous-domaine critique (www, mail, api, etc.). Chaque sous-domaine peut avoir ses propres enregistrements.

MoniTao peut-il surveiller les enregistrements TXT et CNAME ?

Oui, MoniTao peut surveiller tous les types d'enregistrements DNS : A, AAAA, MX, TXT, CNAME, NS, etc. Configurez ceux qui sont critiques pour votre infrastructure.

Que faire si MoniTao détecte un changement DNS non autorisé ?

Agissez immédiatement : connectez-vous à votre registrar pour vérifier, restaurez les bons enregistrements si nécessaire, changez vos mots de passe, activez 2FA si ce n'est pas fait, et enquêtez sur la cause.

Protégez vos DNS Avant qu'il ne Soit Trop Tard

Les attaques DNS sont particulièrement dangereuses car elles passent souvent inaperçues. Votre serveur fonctionne parfaitement, mais le trafic est redirigé ailleurs. Sans surveillance dédiée, vous ne découvrez le problème que lorsque les dégâts sont faits : données volées, réputation entachée, certificats compromis.

MoniTao surveille vos enregistrements DNS en permanence et vous alerte instantanément en cas de modification. Combiné avec les bonnes pratiques de sécurité (2FA, verrouillage de transfert), vous avez une défense solide contre les changements DNS non autorisés. Configurez votre premier monitor DNS en quelques clics.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs