DNS Flapping : Quand la Résolution Oscille

Vos requêtes DNS retournent tantôt une IP, tantôt une autre. Voici pourquoi.

Le DNS flapping désigne une situation où les résolutions DNS alternent de manière apparemment aléatoire entre différentes valeurs. Cela peut être intentionnel (round-robin load balancing) ou problématique (secondaires désynchronisés, zone corrompue, attaque). Le flapping problématique cause une expérience utilisateur incohérente : parfois le site charge, parfois non. Identifier si le flapping est normal ou anormal est la première étape du diagnostic.

Symptômes du DNS Flapping

  • dig retourne des IPs différentes à chaque requête
  • Le site fonctionne parfois, pas d'autres fois, sans pattern clair
  • Les monitors externes alternent entre UP et DOWN rapidement
  • Les utilisateurs rapportent une expérience incohérente

Causes du Flapping

  • Round-robin intentionnel : Vous avez configuré plusieurs enregistrements A pour du load balancing. C'est normal, chaque IP doit fonctionner.
  • NS désynchronisés : Vos serveurs NS secondaires n'ont pas la même zone que le primaire. La réponse dépend de quel NS répond.
  • Propagation en cours : Pendant une migration, les caches ont des valeurs différentes selon leur TTL résiduel.

Diagnostic du Flapping

  1. Interrogez chaque NS individuellement : dig @ns1.example.com example.com puis @ns2...
  2. Vérifiez que le serial SOA est identique sur tous les NS.
  3. Si round-robin intentionnel, vérifiez que TOUTES les IPs retournées sont valides.
  4. Testez sur plusieurs résolveurs publics pour voir si le flapping est local ou global.

Détection du Flapping avec MoniTao

MoniTao identifie les patterns de flapping :

  • Détection d'alternance anormale de valeurs DNS
  • Alerte si les NS retournent des valeurs différentes (désynchronisation)
  • Distinction entre round-robin légitime et problème de zone

Stabiliser le DNS

  • Pour le round-robin, assurez-vous que chaque IP est surveillée individuellement
  • Vérifiez régulièrement la synchronisation de vos NS secondaires
  • Utilisez des TTL cohérents sur tous vos enregistrements
  • Évitez les changements DNS fréquents qui créent des états transitoires

FAQ - DNS Flapping

Le round-robin DNS est-il fiable ?

Pour du load balancing basique, oui. Mais il n'a pas de health check : si une IP tombe, les utilisateurs y sont quand même envoyés.

Comment forcer une seule IP ?

Supprimez les autres enregistrements A et gardez une seule IP. Pour du vrai load balancing, utilisez un load balancer.

Mes NS sont désynchronisés, comment réparer ?

Vérifiez les transferts de zone (AXFR/IXFR), le serial SOA, et que NOTIFY fonctionne entre primaire et secondaires.

Le flapping peut-il être une attaque ?

Potentiellement. Un attaquant qui a compromis un NS peut retourner des valeurs différentes. Vérifiez l'intégrité de vos serveurs.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs