logo
GeekFormat

Vérification de la Propagation DNS Globale

Vérificateur de Propagation DNS

Comparez les résultats, la latence et l'état d'erreur entre plusieurs fournisseurs DNS récursifs et DoH. Idéal pour diagnostiquer les retards de propagation et les fourches de résolution.

Lorsque vous modifiez l'enregistrement A d'un domaine, changez de CDN, changez de serveur de messagerie ou activez DMARC, les modifications des enregistrements DNS ne s'appliquent pas instantanément globalement : elles dépendent du TTL et doivent attendre que les caches des résolveurs récursifs du monde entier expirent avant que les nouveaux enregistrements ne prennent effet progressivement. Si vous ne vérifiez pas la propagation globale, vous pouvez penser que la migration est terminée alors qu'en réalité une partie des utilisateurs accèdent toujours à l'ancien serveur. Cet outil de vérification de propagation DNS intègre plusieurs nœuds de résolution publique globaux et des résolveurs DoH de grands fournisseurs, interroge les enregistrements A/AAAA/CNAME/MX/NS/TXT de manière simultanée multi-points, affiche le pourcentage de cohérence de chaque nœud, détecte la contamination DNS et les résultats de détournement, et calcule le TTL restant estimé.

Recommandations connexes

Cas d'utilisation

  • Lors de la migration d'un site web ou du changement de serveur, vérifiez si l'enregistrement A/AAAA s'est propagé globalement et évitez que certains utilisateurs accèdent toujours à l'ancien serveur
  • Après avoir configuré des enregistrements de messagerie (MX/SPF/DKIM/DMARC), vérifiez si les principaux nœuds globaux peuvent résoudre correctement les enregistrements pour garantir que les e-mails n'entrent pas dans le courrier indésirable
  • Lorsqu'un utilisateur signale ne pas pouvoir accéder au site web, utilisez l'outil pour vérifier la résolution de sa région et localisez s'il s'agit d'un problème du résolveur local ou d'un détournement DNS du FAI
  • Après avoir changé le CNAME ou activé un CDN, comparez les résultats de résolution de chaque nœud DoH pour confirmer si le ciblage du CDN est correct et si la distribution des nœuds globaux est cohérente
  • Lors du transfert d'un domaine ou du changement de serveur de noms, vérifiez la propagation globale de l'enregistrement NS pour éviter qu'une partie des résolveurs utilisent toujours l'ancien serveur DNS
  • Vérifiez si les enregistrements TXT (tels que ceux de vérification de propriété SSL/Google/Apple) se sont propagés globalement et évitez les échecs intermittents de vérification

Fonctionnalités

  • Requête globale multi-nœuds : interroge simultanément 15+ nœuds de résolution DNS dans le monde entier, affiche les différences entre les résultats de résolution de chaque région et détermine visuellement la cohérence de la propagation
  • Support complet des types d'enregistrements : prend en charge les 6 types les plus courants : A/AAAA/CNAME/MX/NS/TXT, en un clic pour changer de type d'enregistrement et s'adapter à différents scénarios de débogage
  • Nœuds DoH intégrés de grands fournisseurs : intégration des principaux services DoH de Cloudflare, Google, Quad9, AliDNS, DNSPod, AdGuard DNS et autres, plusieurs nœuds peuvent être sélectionnés pour une comparaison de résolution en parallèle
  • Analyse de cohérence et état de propagation : détecte automatiquement si les résultats de résolution de chaque nœud sont cohérents, affiche le pourcentage de propagation et marque les nœuds anormaux
  • Injection de cache et visualisation TTL : affiche la valeur TTL réelle de chaque nœud, calcule le temps d'attente estimé pour la propagation globale complète, distingue les résultats cohérents, incohérents et les erreurs de résolution
  • Détection de contamination et détournement DNS : détecte automatiquement les anomalies telles que le détournement DNS du FAI, les échecs de propagation et les erreurs d'enregistrements, marque les résultats suspects

Comment utiliser

  1. Saisissez le nom de domaine que vous souhaitez vérifier dans la zone de saisie (par exemple example.com, il n'est pas nécessaire d'ajouter le protocole http:// ou https://)
  2. Sélectionnez le type d'enregistrement que vous souhaitez interroger : A (IPv4), AAAA (IPv6), CNAME (alias), MX (messagerie), NS (serveur de noms), TXT (enregistrement de texte)
  3. Dans la liste des nœuds DoH, cochez les résolveurs que vous souhaitez interroger : Cloudflare/Google/Quad9/AliDNS/DNSPod/AdGuard, etc.
  4. Cliquez sur le bouton 'Vérifier la propagation globale' et attendez les résultats de tous les nœuds sélectionnés ; la requête parallèle prend généralement entre 3 et 10 secondes
  5. Consultez le panneau de résultats : la partie supérieure affiche l'état général (cohérent/incohérent/partiel), le tableau affiche le résultat de résolution, l'IP ou la valeur, le TTL et l'état de chaque nœud
  6. Observez les nœuds rouges d'erreur/jaunes d'avertissement ; la section des notes de diagnostic affiche les anomalies telles que la contamination ou le détournement

FAQ

Combien de temps dure la propagation DNS ? Quand est-elle terminée à 100 % ?

La vitesse de propagation dépend de la configuration TTL. Si le TTL est de 5 minutes (300 secondes), la plupart des résolveurs du monde obtiennent les nouveaux enregistrements en 5-15 minutes ; si le TTL est de 24 heures (86400 secondes), la propagation globale peut prendre jusqu'à 48 heures. Certains résolveurs de petits FAI ne suivent pas strictement le TTL et peuvent continuer à stocker en cache les anciens enregistrements plus longtemps, donc en pratique la propagation à 100 % peut prendre 2 à 3 fois la valeur TTL.

Quelle est la différence entre DoH et le DNS traditionnel du port 53 ?

Le DNS traditionnel utilise le port 53 pour transmettre des requêtes en texte clair UDP/TCP, que le FAI ou le réseau peut voir, enregistrer ou même falsifier et détourner. DoH encapsule les requêtes DNS dans des connexions HTTPS (port 443), c'est-à-dire le même trafic chiffré que les pages web normales. Le FAI peut seulement voir que vous visitez le fournisseur DoH, mais ne peut pas voir quels domaines vous interrogez ni falsifier les résultats, ce qui protège significativement la confidentialité et la sécurité des requêtes.

Tous les nœuds renvoient la même IP, est-ce que la propagation est cohérente ?

C'est la situation la plus simple : si tous les nœuds renvoient le même enregistrement A/AAAA/MX, la propagation est cohérente globalement. Mais il y a des situations spéciales : premièrement, les services utilisant le routage Anycast (comme Cloudflare, AWS CloudFront, Akamai CDN) renvoient différentes IP dans différentes régions, ce qui est normal, c'est le routage intelligent vers le nœud le plus proche, pas une incohérence ; deuxièmement, si les nœuds renvoient des IP différentes mais que toutes sont des IP correctes du nouveau groupe de serveurs (comme les IP de plusieurs nœuds de l'équilibreur de charge), c'est également une propagation normale. L'outil juge la cohérence en tenant compte de ces scénarios Anycast.

Pourquoi les nœuds de certains pays continuent-ils à résoudre vers l'ancienne IP ?

Cela peut être dû à plusieurs raisons : 1) le TTL n'a pas expiré, le résolveur de cette région utilise toujours l'ancien cache, attendez ; 2) le FAI de cette région ne respecte pas le TTL et force l'extension du temps de cache (courant chez certains petits FAI) ; 3) le DNS du FAI a une contamination ou un détournement, renvoie des résultats falsifiés intentionnellement ; 4) l'ancien serveur DNS autoritatif continue de répondre aux requêtes de certaines régions (vérifiez si le NS a été complètement commuté). Si plus de 3 fois le TTL se sont écoulés et qu'il y a des nœuds anormaux, marquez les résultats et envisagez une contamination ou un détournement.

Quels enregistrements faut-il vérifier lors du changement de serveur de messagerie ?

Vérifiez les quatre types principaux : 1) Enregistrement MX : confirmez qu'il pointe vers le nouveau serveur de messagerie ; 2) Enregistrement A/AAAA : confirmez que l'IP du serveur de messagerie se résout correctement ; 3) Enregistrement TXT (SPF) : vérifiez que la politique SPF inclut le nouveau serveur de messagerie ; 4) DKIM et DMARC : ce sont des enregistrements TXT, sélectionnez le type TXT pour interroger. Ces enregistrements sont fondamentaux pour l'acheminement des e-mails ; si l'un d'eux ne s'est pas propagé, les e-mails peuvent être rejetés ou marqués comme spam.

Peut-on se fier complètement aux résultats des nœuds Anycast ?

Les résolveurs Anycast (comme 1.1.1.1, 8.8.8.8) ont la même IP dans le monde entier, mais les requêtes sont routées vers le nœud Anycast le plus proche, donc les résultats de résolution que vous voyez sont affectés par l'emplacement du nœud de sortie de votre réseau. L'outil exécute les requêtes depuis votre environnement réseau, donc les résultats représentent le nœud Anycast de votre région. Pour voir les résultats de plusieurs régions, des nœuds de requête distribués géographiquement sont nécessaires.

术语表

DNS (Système de Noms de Domaine)
Domain Name System, système distribué global qui traduit les noms de domaine lisibles par les humains (comme example.com) en adresses IP (comme 93.184.216.34) que les machines peuvent comprendre, considéré comme l'« annuaire téléphonique d'Internet ».
TTL (Durée de Vie)
Time To Live, indique combien de secondes le résolveur DNS peut stocker en cache l'enregistrement ; après ce délai il doit réinterroger le serveur autoritatif, la valeur affecte directement la vitesse de propagation DNS.
DoH (DNS sur HTTPS)
DNS over HTTPS, défini dans le RFC 8484, qui transmet les requêtes DNS via des connexions chiffrées HTTPS (port 443) pour éviter que le trafic DNS ne soit écouté ou détourné en texte clair, utilisé par de grands fournisseurs comme Cloudflare, Google, Firefox.
DoT (DNS sur TLS)
DNS over TLS, défini dans le RFC 7858, chiffrement natif via TLS sur le port 853, une norme de chiffrement DNS de niveau transport différente de celle de DoH qui passe par HTTPS.
Serveur DNS récursif (Recursive Resolver)
Serveur DNS qui reçoit les requêtes des clients et interroge couche par couche depuis le serveur racine → serveur de premier niveau → serveur autoritatif, comme les publics 8.8.8.8, 1.1.1.1, 114.114.114.114.
Serveur DNS autoritatif (Authoritative DNS)
Serveur qui détient la configuration réelle des enregistrements du domaine (par exemple le serveur NS du bureau d'enregistrement ou Cloudflare DNS), c'est la source ultime de vérité pour toutes les réponses DNS de ce domaine.
Contamination DNS (DNS Cache Poisoning)
Par l'envoi de réponses falsifiées, on trompe le résolveur DNS pour qu'il stocke en cache des résultats de résolution incorrects, de sorte que les utilisateurs sont dirigés vers le mauvais serveur, ce qui est une attaque courante de détournement réseau.
Résolution Anycast
Technologie d'adressage réseau qui annonce la même IP simultanément dans des emplacements globaux, dirigeant les requêtes des utilisateurs vers le nœud le plus proche. De grands services DNS publics comme Cloudflare 1.1.1.1 et Google 8.8.8.8 utilisent Anycast, donc la même IP correspond à plusieurs nœuds physiques dans différentes régions.
Propagation d'enregistrements (DNS Propagation)
Après modification de l'enregistrement DNS sur le serveur autoritatif, le processus par lequel les caches des résolveurs du monde entier expirent successivement et obtiennent le nouvel enregistrement, dont la durée dépend de la configuration TTL.
DNSSEC (Extensions de Sécurité DNS)
DNS Security Extensions, qui ajoute des signatures numériques aux réponses DNS pour éviter la contamination et le détournement, bien que sa mise en œuvre nécessite l'activation par le bureau d'enregistrement du domaine.

Résolveurs DoH publics courants et référence d'utilisation

Cloudflare1.1.1.1https://cloudflare-dns.com/dns-querySans filtrageAnycast global, faible latence, prend en charge DoH/DoT, n'enregistre pas les données utilisateur
Google Public DNS8.8.8.8https://dns.google/dns-querySans filtrageAnycast global, stable et fiable, pris en charge officiellement par Android/Chrome
Quad99.9.9.9https://dns.quad9.net/dns-queryBlocage de malwareIntègre plusieurs sources de renseignement sur les menaces, bloque automatiquement les domaines malveillants
AdGuard DNS94.140.14.14https://dns.adguard-dns.com/dns-queryBlocage de publicités/traceursBlocage intégré de publicités, traceurs et domaines malveillants, protection de la vie privée
AliDNS (Alibaba Cloud)223.5.5.5https://dns.alidns.com/dns-querySans filtrageRésolution rapide en Chine continentale, stabilité domestique optimale, prend en charge DoH/DoT
DNSPod (Tencent Cloud)119.29.29.29https://doh.pub/dns-querySans filtrageRésolution domestique rapide, couverture nationale de nœuds multiples
OpenDNS (Cisco)208.67.222.222https://doh.opendns.com/dns-querySécurité/Contrôle parental optionnelBlocage de phishing, plan payant avec politiques de filtrage personnalisées

Stratégie d'ajustement TTL pendant la migration DNS

24-48 heures avant la migration60-300 secondes (1-5 minutes)Réduire le TTL de tous les enregistrements que vous prévoyez de modifierAttendez que le TTL ancien (comme la valeur par défaut de 3600/86400) expire dans tous les caches
Moment de la migration60-300 secondesModifier l'enregistrement DNS vers le nouveau serveur/destinationLa propagation se termine en quelques minutes, la plupart des utilisateurs changent rapidement
0-2 heures après la migration60-300 secondesSurveiller la propagation globale via l'outil de vérificationAttendre que le pourcentage de propagation atteigne 100 %, observer s'il y a des nœuds anormaux
24-48 heures après la migration (sans anomalies)3600 secondes (1 heure) ou 86400 secondes (1 jour)Restaurer le TTL à une valeur plus élevéeUn TTL élevé réduit la charge de requêtes sur le serveur autoritatif et améliore la vitesse de résolution utilisateur

Authoritative References

  • Reference
  • Reference
  • Reference