Tutoriel nslookup : Maîtriser le diagnostic DNS

Le DNS (Domain Name System) est l'annuaire d'Internet. Savoir l'interroger est une compétence fondamentale en réseau et en cybersécurité. L'outil universel pour cela ? nslookup.

Que vous soyez sous Windows, Linux ou macOS, ce guide vous montre comment extraire toutes les informations d'un nom de domaine.

1. Qu'est-ce que nslookup ?

nslookup (Name Server Lookup) est un outil en ligne de commande permettant d'interroger les serveurs DNS pour obtenir des correspondances entre adresses IP et noms de domaine, ou pour examiner des enregistrements spécifiques (Email, serveurs de noms, etc.).

2. Utilisation basique : Trouver une adresse IP

La commande la plus simple renvoie l'adresse IPv4 (enregistrement A) et IPv6 (AAAA) d'un site.

Commande :

nslookup google.fr

• Server : Le serveur DNS qui vous répond (souvent votre box ou Google 8.8.8.8).
• Non-authoritative answer : Signifie que la réponse provient d'un cache et non du serveur DNS source du domaine.

3. Le Reverse DNS : Trouver un nom depuis une IP

En cybersécurité, on récupère souvent une IP suspecte dans des logs. Le "Reverse Lookup" permet de voir quel domaine y est rattaché (enregistrement PTR).

Commande :

nslookup 8.8.8.8

4. Interroger des enregistrements spécifiques (-type=)

C'est ici que l'outil devient puissant pour le Pentest ou le Débogage. Vous pouvez cibler ce que vous cherchez.

Trouver les serveurs de Mail (MX)

Pour savoir qui gère les emails d'une entreprise :

nslookup -type=mx microsoft.com

Voir les enregistrements TXT (SPF, DKIM, Sécurité)

Les enregistrements TXT contiennent souvent des clés de sécurité ou des configurations anti-spam.

nslookup -type=txt progfacil.fr

Identifier les serveurs de noms (NS)

Pour savoir chez quel hébergeur (AWS, Cloudflare, OVH) le domaine est configuré :

nslookup -type=ns google.com

5. Changer de serveur DNS pour un test

Parfois, votre DNS local est lent ou "ment" (censure). Vous pouvez forcer nslookup à interroger un serveur spécifique, comme celui de Cloudflare (1.1.1.1).

Syntaxe : nslookup [domaine] [serveur_dns]

nslookup progfacil.fr 1.1.1.1

Utile pour vérifier si un changement de DNS a bien été propagé dans le monde entier.

6. Le Mode Interactif (Pour les Pros)

Au lieu de taper une commande à chaque fois, tapez juste nslookup et entrez dans la console dédiée.

1. Tapez : nslookup
2. Changez le type : set type=mx
3. Tapez le domaine : google.com
4. Quitter : exit

7. Astuces de Hacker : Le mode Debug

Vous voulez voir tout ce qui se passe durant la requête ? Activez le mode debug pour voir les détails techniques des paquets échangés.

nslookup -debug google.fr

Exercice Pentest : Exfiltration DNS avec dig

Pour cet exercice, nous allons utiliser un site d'entraînement : zonetransfer.me.

Ce site a été créé par un expert en sécurité (DigiNinja) pour être volontairement "vulnérable". Contrairement à Tesla, ce serveur autorise les transferts de zone, ce qui va nous permettre de voir tout ce qu'un hacker rêve de trouver.

Mission : L'Exfiltration de l'Annuaire Complet

En pentest, le but ultime avec le DNS est le Zone Transfer (AXFR). C'est comme si, au lieu de chercher un nom dans l'annuaire, tu demandais à l'imprimeur de te donner une copie de tout l'annuaire.

Cible : zonetransfer.me (Serveur : nsztm1.digi.ninja)

Étape 1 : Identifier les serveurs de noms (NS)

Avant d'attaquer, on identifie qui détient l'autorité sur le domaine.

Commande :

dig ns zonetransfer.me +short

• ns : On cherche les Name Servers.
• +short : Nettoie l'affichage pour n'avoir que l'essentiel.
• Résultat : Tu devrais voir nsztm1.digi.ninja et nsztm2.digi.ninja.

Étape 2 : Tentative de transfert de zone (AXFR)

C'est ici que l'on tente de "voler" toute la base de données du domaine.

Commande :

dig axfr @nsztm1.digi.ninja zonetransfer.me

• axfr : Demande le transfert complet de la zone.
• @nsztm1.digi.ninja : On interroge directement le serveur cible (très important !).

Exemple non exhaustif de résultat de vulnérabilités trouvé.

La liste ci-dessous est à titre d'exemple et non exploitable.

Étape 3 : Analyse du "Butin" (The Loot)

Si la commande réussit, tu vas voir une liste impressionnante de sous-domaines. Voici ce que tu dois repérer en tant que Pentesteur :

1. Les fuites d'infos (TXT Records) :
2. Cherche les lignes avec TXT. Les administrateurs y laissent parfois des indices.

• Exemple : "Certains admins pensent que c'est une bonne idée d'écrire des infos ici..."

1. Les serveurs internes :
2. Cherche des noms comme dev, staging, internal, ou dc01 (Domain Controller).
3. Les serveurs de mail (MX) :
4. Vérifie si le trafic mail passe par un service sécurisé ou un serveur propre.

Étape 4 : Automatisation (Bonus Hacker)

Si tu as beaucoup de domaines à tester, tu peux utiliser la commande host, plus concise, qui est aussi préinstallée sur Linux :

host -l zonetransfer.me nsztm1.digi.ninja

• -l : Liste tout le domaine (équivalent de l'AXFR).

Pourquoi est-ce "vulnérable" ?

Dans un environnement sécurisé, si tu tentes un dig axfr, tu recevras un message Transfer failed. ou Query refused.

Laisser l'AXFR ouvert est une faille de type "Information Disclosure". Cela permet à l'attaquant de :

• Connaître l'étendue exacte de ton parc informatique.
• Trouver des serveurs oubliés ou non mis à jour.
• Éviter de faire du bruit avec un "Brute Force" (car il a déjà la liste complète).

Ton prochain défi

Maintenant que tu as une liste d'adresses IP grâce à ce transfert de zone, la phase suivante est de voir ce qui tourne dessus (Serveur Web ? Base de données ? SSH ?).

Conclusion

nslookup est un outil "legacy" indispensable. Bien qu'il existe des outils plus modernes comme dig sur Linux, nslookup reste le seul présent par défaut sur tous les systèmes d'exploitation. C'est votre premier réflexe pour comprendre l'infrastructure d'une cible.