Interroger le DNS avec Python - Chicoree

1 dnspython

Pour citer le site officiel, dnspython est une boîte à outils Python pour le DNS. Toujours d'après ce cite, dnspython était un projet interne développé par la société Nominum pour tester leur solution DNS. Par la suite, cette société en a autorisé la diffusion sous une licence de type BSD.

2 Utiliser le resolver pour interroger le DNS

Le site officiel de dnspython est assez avare en documentation. Le point de départ pour apprendre à utiliser ce paquet reste donc de se référer aux quelques exemples fournis sur le site. Le premier d'entre eux montre comment interroger le DNS pour trouver l'enregistrement MX associé à un nom de domaine. Ceci pourra par exemple être utile pour déterminer le serveur de messagerie vers lequel acheminer les mails destinés aux membres d'un domaine:

2.1 Accéder au MX

2.2 Accéder à l'adresse d'un hôte (enregistrements A et AAAA)

Une très brève section si vous avez compris l'exemple précédent: pour accéder à l'adresse d'un hôte, il suffit d'interroger les enregistrements A ou AAAA correspondants:

2.3 Reverse DNS (enregistrement PTR)

Cette utilisation est exactement l'inverse de la précédente: moyennant une adresse IP, on cherche à déterminer l'hôte correspondant. Ceci est rendu possible par l’existence d'enregistrements PTR dans le DNS. Par contre, la résolution inverse nécessite que les adresses soient passées sous une forme particulière. dnspython propose une fonction spécifique pour cela: dns.reversename.from_address. Cette fonction est compatible IPv4 et IPv6.

2.4 Accès aux services (enregistrement SVR)

Un enregistrement potentiellement très intéressant est SRV. Celui-ci est d'introduction assez récente puisqu'il n'a été formalisé qu'en 2000 dans la RFC2782 — A DNS RR for specifying the location of services (DNS SRV).

2.5 Gestion des exceptions

dnspython utilise les exceptions pour rapporter les situations ... exceptionnelles. Ainsi, jusqu'à présent, mes exemples renvoyaient tous au moins un résultat. Mais dans le cas ou aucun résultat n'est trouvé une exception dns.resolver.NoAnswer est générée:

3 Mise à jour dynamique du DNS

A l'origine, le DNS était conçu pour être consulté en ligne. Les mises à jour consistant pour l'administrateur à modifier (éventuellement manuellement) les fichiers de zone – puis à indiquer au serveur DNS de prendre en compte ces modifications.

4 Sécuriser les transactions avec TSIG

Je dois avouer que pour les exemples de mises à jour ci dessus, les autorisations sur le serveur étaient basées sur l'adresse IP du client. Ce qui est fort peu sécurisé! En production, vous reposerez sans doute sur quelque-chose de plus sérieux comme TSIG. Cette technique introduite par BIND8.2 et formalisée dans la RFC2845 — Secret Key Transaction Authentication for DNS (TSIG) repose sur un secret partagé entre le client et le serveur. Ce secret servant à construire et valider un hash envoyé avec le message.

5 Conclusion

Voila: cette présentation de dnspython est terminée. Mon but n'était certainement pas de fournir un inventaire exhaustif des possibilités de cette bibliothèque, mais simplement de donner un aperçu de ses possibilités et de sa simplicité d'utilisation. Son point faible restant clairement son manque de documentation. Au moins aurais-je ajouté ma petite pierre à l'édifice. Et j'espère vous avoir convaincu d'inclure cet outil à votre panoplie lorsqu'il s'agira de travailler avec le DNS.