Sondage Quel résolveur DNS utilisez-vous ?

Posté par . Licence CC by-sa
Tags :
17
8
jan.
2017

En lien avec le journal que j'ai posté récemment, il serait intéressant de connaitre le résolveur DNS que vous utilisez

  • Google :
    345
    (12.1 %)
  • OpenDNS :
    191
    (6.7 %)
  • Ceux de mon FAI :
    1150
    (40.3 %)
  • Un service payant (précisez dans les commentaires) :
    2
    (0.1 %)
  • Un service gratuit (précisez dans les commentaires) :
    48
    (1.7 %)
  • Ceux de la FDN / LDN / … :
    243
    (8.5 %)
  • Le mien ! :
    494
    (17.3 %)
  • J'en sais rien … c'est pas magique l'informatique ? :
    141
    (4.9 %)
  • La force guide mon butineur … :
    78
    (2.7 %)
  • Aucun ! je tape directement les adresse IP que je connais par cœur, même les v6 !!! :
    165
    (5.8 %)

Total : 2857 votes

La liste des options proposées est volontairement limitée : tout l'intérêt (ou son absence) de ce type de sondage réside dans le fait de forcer les participants à faire un choix. Les réponses multiples sont interdites pour les mêmes raisons. Il est donc inutile de se plaindre au sujet du faible nombre de réponses proposées, ou de l'impossibilité de choisir plusieurs réponses. 76,78% des sondés estiment que ces sondages sont ineptes.
  • # OpenNIC

    Posté par . Évalué à 0 (+2/-2).

    J'ai découvert OpenNIC car il était recommandé par un site qui a fait l'objet d'un blocage par DNS menteur. Je l'utilise toujours même si le site bloqué a déménagé depuis.

    • [^] # Re: OpenNIC

      Posté par . Évalué à 6 (+6/-1).

      J'utilise également OpenNIC, car il est listé dans la doc de ma distribution chérie : https://wiki.archlinux.org/index.php/Resolv.conf

      En fait, en voyant le sondage, je suis allé voir mon resolv.conf, que j'avais modifié (et ajouté le nohook resolv.conf), mais j'ai découvert avec stupeur que j'utilisais ceux de celui dont on ne prononce le nom (G****e). J'ai sans doute viré le nohook suite à des problèmes dans le passé. Moi qui fuis Google depuis des années, et qui bloque toutes les requêtes vers Google dans Firefox via Request Policy, moi qui refuse de pécho des dossier GDrive, j'ai été désolé ! Ils ont au moins 6 mois de navigation…

    • [^] # Re: OpenNIC

      Posté par . Évalué à 1 (+0/-0).

      OpenNIC également, j'ai changé à la suite des mauvais bruits qui ont courus sur openDNS, et de toute façon leur rachat par Cisco n'était pas pour me plaire.
      J'utiliserais bien ceux de FDN, mais n'étant pas en France, j'arrive à trouver avec openNIC des serveurs localisés plus près géographiquement

    • [^] # Re: OpenNIC

      Posté par (page perso) . Évalué à 5 (+3/-0).

      C'est une racine alternative (ils ajoutent des TLD « bidons », qui ne marcheront que chez eux), donc mauvaise idée.

  • # OpenDNS

    Posté par . Évalué à 0 (+0/-1).

    J'utilise OpenDNS qui me semble bien pour le moment.

    Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

    • [^] # Re: OpenDNS

      Posté par (page perso) . Évalué à 3 (+1/-0).

      Cisco OpenDNS est situé aux USA, donc toutes les données persos filent chez un pays qui a zéro protection des données personnelles (idem avec Google Public DNS, bien sûr).

  • # celui de mon FAI

    Posté par . Évalué à 8 (+7/-0). Dernière modification le 08/01/17 à 19:25.

    Sauf quand il bloque T411 :(

  • # FAI FDN

    Posté par . Évalué à 4 (+3/-0).

    Celui de mon FAI qui est FDN.

    • [^] # Re: FAI FDN

      Posté par . Évalué à 10 (+11/-0).

      Résolveurs DNS ouverts

      Pour lutter contre la censure sur Internet, FDN fait le choix de mettre à disposition de toutes et tous des résolveurs DNS récursifs ouverts.

      Ils sont disponibles aux adresses IPv4 et IPv6 suivantes :

      ns0.fdn.fr : 80.67.169.12 ou 2001:910:800::12
      ns1.fdn.fr : 80.67.169.40 ou 2001:910:800::40
      

      https://www.fdn.fr/actions/dns/

      • [^] # Re: FAI FDN

        Posté par . Évalué à 2 (+2/-0).

        Je ne savais pas qu'ils proposaient cela, merci pour l'info. :) Je m'en vais de suite les utiliser.

      • [^] # Re: FAI FDN

        Posté par . Évalué à 5 (+3/-0).

        Pour lutter contre la censure sur Internet, FDN fait le choix de mettre à disposition…

        … des résolveurs qui ne valident pas DNSSEC.

        • [^] # Re: FAI FDN

          Posté par (page perso) . Évalué à 3 (+1/-0).

          Et, même s'ils le faisaient, comme le lien avec eux n'est pas sécurisé (aucune authentification, pas d'intégrité cryptographiquement vérifiée), cela n'aurait guère de valeur.

          • [^] # Re: FAI FDN

            Posté par . Évalué à 2 (+0/-0).

            Sauf si tu fais confiance à ce que tu traverses pour atteindre ces résolveurs.

  • # Openic

    Posté par . Évalué à 1 (+6/-0).

    OpenNIC car conseillé par Break prism a la place de OpenDNS

    • [^] # Re: Openic

      Posté par . Évalué à 6 (+5/-0).

      OpenDNS est un DNS menteur (il l'était en tout cas http://www.bortzmeyer.org/opendns-non-merci.html), je ne sais pas si c'est toujours d'actualité. Ce qui est d'actualité par contre c'est son rachat cet été par Cisco pour 635M$
      Donc oui, si vous voulez un DNS neutre et respectueux, les DNS de FDN semblent tout indiqué.

  • # Avantage des autres DNS ?

    Posté par . Évalué à 3 (+3/-0).

    J'utilise personnellement le DNS de mon FAI comme beaucoup de monde.

    Quelqu'un peut m'expliquer quelle est l'intérêt d'utiliser un DNS plutôt qu'un autre ?

    Je veux dire, je n'ai pas souvenir d'avoir eu un souci avec le serveur DNS de mon opérateur, donc je pense il est dispo plus de 99% (chiffre de mon chapeau). Est ce que les autres serveurs respectent mieux la vie privée ? Moins de censure ? Quelles sont les autres avantages/inconvénients des autres serveurs dns ?

    J'avais entendu parlé de pihole (https://pi-hole.net/) pour créer son serveur afin de neutraliser la pub à la source mais il me semble qu'on était dépendant d'un autre serveur dns (de mémoire).

    • [^] # Re: Avantage des autres DNS ?

      Posté par . Évalué à 9 (+7/-0).

      Certains DNS de FAI, suite à pression étatique en France, "bloquent" http://thepiratebay.org (TPB), par exemple. (Clique sur mon lien pour voir si tu es concerné.)

      Une recherche très rapide me sort cet article : http://www.fredzone.org/comment-acceder-a-the-pirate-bay-depuis-la-france-339. Il y en a peut-être de plus pertinents.

      Au-delà de ce site, ça pose des problèmes de principe.

      Dans un état encore plus voyou que le notre, au lieu de supprimer certains sites, on pourrait rediriger vers des copies malveillantes.

      Pour se prémunir de ça, passer par un DNS de confiance (d'où, ce sondage). Par exemple ceux de FDN.

      Je sais plus pourquoi j'avais pas réussi à bien le faire. C'est pourtant simple. Toujours est-il que j'ai fini par conserver le DNS de mon FAI en ajoutant dans /etc/hosts l'adresse IP de TPB…

      Enfin, même le DNS de FND s'appuie sur le système mondial, un peu centralisé, un peu aux mains des US, et je crois que la question d'un système alternatif a déjà été évoquée ici. On a des experts de la question sur linuxfr qui en parleront bien mieux que moi.

      • [^] # Re: Avantage des autres DNS ?

        Posté par . Évalué à 3 (+1/-0).

        Certains DNS de FAI, suite à pression étatique en France, "bloquent" http://thepiratebay.org (TPB), par exemple. (Clique sur mon lien pour voir si tu es concerné.)

        Marrant, le site est accessible à partir du réseau renater :-)

        La question, c'est décision de justice ou pas? Décision de justice = État de droit, pas décision de justice = censure d'État. Si tu ne veux pas te soumettre aux décisions de la justice de ton pays, tu entres dans une démarche qui est politique et militante, et beaucoup risquent de ne pas te suivre.

        Par contre, ne serait-il pas possible de s'organiser pour n'utiliser un DNS tiers seulement dans certains cas particuliers, par exemple quand celui du FAI ne renvoie rien ou renvoie vers un site différent de celui du cache, etc? Après tout, il existe des arguments techniques assez forts pour utiliser le DNS du FAI (ne serait-ce que pour des raisons de performance, mais aussi pour des raisons de confidentialité puisque les requêtes au DNS du FAI ne se balladent pas à poil sur Internet). Il y a un risque pour que le remède soit bien pire que le mal en termes de confidentialité…

        • [^] # Re: Avantage des autres DNS ?

          Posté par (page perso) . Évalué à 4 (+3/-0). Dernière modification le 09/01/17 à 12:13.

          Décision de justice = État de droit, pas décision de justice = censure d'État

          N'oubliez pas l' auto-censure et la censure dirigée depuis la maison mère du FAI.
          On peut imaginer, mais c'est de la science-fiction, qu'un FAI lié par son groupe à un marchand de produit culturel censure les sites coupable de contrefaçons de ces mêmes produits.

          • [^] # Re: Avantage des autres DNS ?

            Posté par . Évalué à 6 (+4/-0).

            mais c'est de la science-fiction

            Comme quand Orange s’est « trompé » de liste de zones bloquées et a renvoyer les utilisateurs de Wikipedia, Google, et cie. vers un site du gouvernement ?

            Site qui, au passage, connaît donc toutes les informations sur la requête et stock l’ensemble de ces informations : IP source, URL visitée, etc.

        • [^] # Re: Avantage des autres DNS ?

          Posté par . Évalué à 3 (+3/-0).

          La question, c'est décision de justice ou pas? Décision de justice = État de droit, pas décision de justice = censure d'État. Si tu ne veux pas te soumettre aux décisions de la justice de ton pays, tu entres dans une démarche qui est politique et militante, et beaucoup risquent de ne pas te suivre.

          Pas tout a fait. En réalité c'est un proces qui oposait les ayants droits (je ne sais plus lesquels) a thepiratebay. A la conclusion du proces les grands FAI (de mémoire orange, sfr, bouygues, numericable et free) ont été condamnés a bloquer ces sites.La solution technique retenue pour les bloquage est le DNS menteur. Les petits (comme FDN) n'ont pas été condamné et ne bloquent pas. Donc toi en tant que client tu n'as rien a voir dans cette décision de justice et tu peux tout a fait la contourner en toute légalité (enfin c'est pas plus illegal que quand tu y allait avant le proces).

          Pour ma part j'ai d'abord utilisé les DNS de FDN mais ils sont saturé donc j'ai monté mon résolveur dans une machine virtuel sur mon réseau(de mémoire 1h de travail en comptant 30 min pour installer la vm).

          • [^] # Re: Avantage des autres DNS ?

            Posté par (page perso) . Évalué à 3 (+1/-0).

            Pourquoi avoir utilisé une machine virtuelle et pas directement ton pc ?

            • [^] # Re: Avantage des autres DNS ?

              Posté par . Évalué à 1 (+1/-0). Dernière modification le 09/01/17 à 17:57.

              Pour simplifier l'utilisation. Le fait d'avoir un serveur DNS dédié me permet de le renseigner dans le DHCP et l'adresse de ce serveur est configuré automatiquement sur toutes les machines de mon réseau.

              Le coté virtuel est pour des raisons pratiques, il me reste des machines inutilisés qui ferait le travail (des raspberry pi) mais ça me fait des cables partout et je n'ai pas vraiment de meuble pour les ranger donc je l'ai virtualisé. Si mon "hyperviseur" (en réalité la machine qui me sert aussi de NAS) tombe je n'ai plus de DNS mais normalement elle est stable.

              A ce niveau il faut aussi que je me créé un vrai DHCP (pour ne plus dépendre de celui de la box) mais je n'ai pas encore eu le temps d'apprendre a le faire.

      • [^] # Re: Avantage des autres DNS ?

        Posté par (page perso) . Évalué à 4 (+2/-0).

        Ce ne sont pas forcément des pressions de l'État, cela peut être des décisions de justice (cas de The Pirate Bay ou, en général, des domaines qui embêtent les ayant-trop-de-droits), ou bien un ordre (pas une pression) comme http://www.bortzmeyer.org/censure-francaise.html

        Et pas besoin d'un « état encore plus voyou que le notre », la redirection se fait déjà (cf. article ci-dessus.)

    • [^] # Re: Avantage des autres DNS ?

      Posté par (page perso) . Évalué à 7 (+7/-0).

      Quelqu'un peut m'expliquer quelle est l'intérêt d'utiliser un DNS plutôt qu'un autre ?

      La disponibilité, mon DNS FAI étant souvent hs.

      La sincérité des réponses, et la confiance dans l'autre DNS.

      La disponibilité de DNSSEC qui valide la réponse ou non.

      La rapidité, avec un résolveur installé sur ma machine je gagne presque 100 ms par requête DNS.

      Le fait que le DNS de mon FAI ne me donne pas les même résultats que le miens validé en DNSSEC.

      Est ce que les autres serveurs respectent mieux la vie privée ?

      FDN font partie des personnes qui se battent pour la Neutralité du Net. Ils interviennent à des conférences où ils expliquent leurs points de vue et leurs actions. Un petit lien très instructif (mais long, et pas forcément adéquat sur le sujet).

      Si tu laisses ton traffic DNS passer chez ton FAI (ou Google, ou OpenDNS, …), voilà ce qui peut se passer :

      • censure (site bloqué) légale (décision du tribunal)
      • site redirigé (vers le même site web, mais hébergé chez quelqu'un d'autre)
      • TOUS les outils qui reposent sur le DNS ont donc un unique point de défaillance (sauf si vérification supplémentaire via certificat ou signature)
      • on peut analyser tes habitudes de navigation et les revendre (on peut même croiser ça avec une interception http pour plus de détails)

      il me semble qu'on était dépendant d'un autre serveur dns

      Tu dois forcément te référer aux serveurs racine, qui sont le point d'entrée du système de nommage.

      • [^] # Re: Avantage des autres DNS ?

        Posté par . Évalué à 2 (+2/-2). Dernière modification le 09/01/17 à 17:15.

        La disponibilité, mon DNS FAI étant souvent hs.

        Du coup, il y a comme un problème chez ton FAI, non?

        La rapidité, avec un résolveur installé sur ma machine je gagne presque 100 ms par requête DNS.

        Je me demande comment c'est possible. Ton serveur va interroger la racine beaucoup beaucoup plus souvent que le DNS de ton FAI, et tu ne vas donc pas bénéficier du cache du DNS du FAI.

        on peut analyser tes habitudes de navigation et les revendre

        Là, tu as une sorte de défiance aveugle envers ton FAI, parce que ta solution (envoyer tes requêtes sur Internet) t'expose beaucoup plus. De toutes manières, ton FAI a le log de tes requêtes, donc s'ils veulent t'espionner, je ne vois pas ce que ça change. S'il te faut choisir un tiers de confiance, alors ça devrait être ton FAI, parce que par définition, il voit tout ce qui sort et tout ce qui rentre, il connait tes habitudes de connexion, il sait quelle chaine de TV tu regardes, vers quel site tu uploades et tu downloades, à qui tu téléphones et combien de temps ; il connait ton adresse et ton numéro de compte bancaire, sur lequel il a l'autorisation de faire des prélèvements. Il a très probablement plusieurs enregistrements de ta voix quand tu a appelé la hotline. Alors bon, honnêtement, qu'il ait accès à mes requêtes DNS est le cadet de mes soucis…

        Ce que je veux dire, c'est qu'il n'est pas malsain d'essayer de protéger sa vie privée, par contre il faut quand même faire preuve d'un minimum de cohérence, et de ne pas coller une rustine sur un pneu dont la valve est explosée.

        • [^] # Re: Avantage des autres DNS ?

          Posté par . Évalué à 2 (+0/-0).

          Ton serveur va interroger la racine beaucoup beaucoup plus souvent que le DNS de ton FAI, et tu ne vas donc pas bénéficier du cache du DNS du FAI.

          Pour les sites les plus visités, je ne pense pas que ça soit si différent. Sauf configuration contraire, les résolveurs ne vont interroger la racine que lorsque le TTL en cache est < 1.

          • [^] # Re: Avantage des autres DNS ?

            Posté par . Évalué à 3 (+2/-1).

            Oui, mais justement, le cache du DNS du FAI va être beaucoup plus gros et beaucoup plus à jour que le tien, puisqu'il y a des milliers de gens qui l'utilisent. Si je comprends bien comment ça marche, tu as plusieurs possibilités :
            * cache du navigateur/du système
            * cache du résolveur (soit local, soit celui du FAI)
            * interrogation de la racine
            Certes, quand tu héberges ton DNS, tu gagnes un peu de temps par rapport à interroger celui du FAI puisque tu es en local, mais tu ne vas avoir quasiment aucun cache sur les sites que tu visites rarement. Du coup, sites fréquemment visités -> cache système, sites rarement visités -> interrogation de la racine, sites confidentiels -> interrogation de la racine. Si tu passes par celui du FAI, il y a probablement de fortes chances que tes sites rarement visités soient visités par d'autres, et tu vas bénéficier du cache. Pour les sites confidentiels rarement visités, il faudra de toutes manières faire une requête vers l'extérieur, mais tu payes ce coût dans tous les cas.

            Du coup, j'imagine que dans les faits, les différences de perf sont mineures. Mais s'il en existe, je parierais plutôt pour un avantage au DNS FAI en utilisation réelle (ceci dit, ça mérite quand même un benchmark…).

            • [^] # Re: Avantage des autres DNS ?

              Posté par (page perso) . Évalué à 7 (+5/-0).

              tu ne vas avoir quasiment aucun cache sur les sites que tu visites rarement

              Les choses sont un peu plus complexes que cela.

              • Pour chaque enregistrement DNS, le gérant de la zone décide de la durée de validité d'icelui. C'est le TTL ("Time To Live"). Un serveur DNS cache gardera l'enregistrement en mémoire aussi longtemps que le TTL le permet.

              Bien qu'il existe des RFC spécifiant quelles valeurs sont normalement admises pour un TTL, une des tendances actuelles est de configurer des temps très court pour les sites importants (ce qui permet d'améliorer les bascules de service, la gestion de charge et ce genre de choses). Le bénéfice pour de tels sites sera difficile dans tous les cas.

              • Un bon serveur DNS cache doit avoir de la mémoire disponible (évidemment) et aussi un bon uptime. Avoir un DNS cache personnel demande une machine qui n'est pas redémarrée ou éteinte sans raison, le service doit rester actif aussi longtemps que possible, sinon les bénéfices du cache ne seront pas évidents.

              J'ai un serveur Unbound au boulot qui ne sert que pour des besoins d'infrastructure (équipement réseau, serveurs, …) et le gain est non négligeable si j'en crois les logs de la semaine passée :

              Jan 08 04:40:25 unbound[26393:0] info: server stats for thread 0: 39588 queries, 23095 answers from cache, 16493 recursions, 0 prefetch

        • [^] # Re: Avantage des autres DNS ?

          Posté par (page perso) . Évalué à -2 (+0/-2).

          il faut quand même faire preuve d'un minimum de cohérence, et de ne pas coller une rustine sur un pneu dont la valve est explosée

          90% de mon traffic (sous GNU/Linux, donc tout ce qui est important, mails, web, protocoles custom, développements persos) est routé sur un VPN hébergé (le reste c'est Windo$, et étant donné que je n'utilise que les jeux dessus sans jamais faire autre chose) ailleurs, donc mon FAI peut toujours essayer de tout lire.

          Après certes mon hébergeur distant peut tout voir, mais il est (moins) supposé lire le traffic que mon FAI.

    • [^] # Re: Avantage des autres DNS ?

      Posté par (page perso) . Évalué à 3 (+1/-0).

      Il y a des tas de solutions équivalentes à Pi-Hole, le RPZ de BIND, par exemple.

  • # apt-get install unbound

    Posté par (page perso) . Évalué à 2 (+1/-0).

    Presque tout est dans le titre. Ajouter des IP dans /etc/hosts, ça va bien deux minutes pour rigoler, mais ça n'est pas raisonnable.

    Et pour l'anecdote, ajouter quelques noms locaux (foo.home etc.) est assez facile (avec ou sans reverse). ;)

    Debian Consultant @ DEBAMAX

    • [^] # Re: apt-get install unbound

      Posté par . Évalué à 3 (+2/-1).

      C'est quoi le principe d'un DNS perso ?

      Je veux dire, en deux mots, à quel endroit prend-il ses infos ? En quoi ses sources sont-elles fiables ?

      • [^] # Re: apt-get install unbound

        Posté par (page perso) . Évalué à 7 (+5/-0).

        Je veux dire, en deux mots, à quel endroit prend-il ses infos ? En quoi ses sources sont-elles fiables ?

        Il prend ses infos en contactant directement les serveurs faisant autorité, sans passer par un intermédiaire.

        Il faut comprendre la différence entre un stub resolver et un full resolver (aussi appelé résolver récursif).

        Seul un résolveur récursif est capable de répondre pleinement à une question, en émettant autant de requêtes que nécessaire auprès des différents serveurs faisant autorité jusqu’à obtenir une réponse. Par exemple, pour obtenir l’adresse de www.example.com., un résolveur récursif contactera successivement un des serveurs faisant autorité pour la racine (qui lui répondra en gros « je connais pas www.example.com., mais demande aux serveurs faisant autorité pour com., c’est leur rayon »), puis un des serveurs faisant autorité pour com., puis finalement un des serveurs faisant autorité pour example.com..

        Un stub resolver, en revanche, peut seulement transmettre la demande à un résolveur récursif et en attendre la réponse.

        En général, par défaut le résolveur du système d’exploitation est un stub resolver, qui ne peut donc rien faire tout seul. Il doit être configuré avec l’adresse d’un ou plusieurs serveurs récursifs (typiquement, ceux indiqués par le FAI) à qui transmettre les demandes.

        Installer un « DNS perso », dans ce contexte, consiste à remplacer le stub resolver du système par un résolveur récursif (comme Unbound par exemple), dispensant ainsi de la nécessité d’utiliser un résolveur récursif fourni par un tiers.

        • [^] # Re: apt-get install unbound

          Posté par . Évalué à 2 (+0/-0).

          Merci ! C'est clair.

          Et le résolveur récursif connaît l'IP de chaque "serveur faisant autorité pour la racine" ? Comment ça se passe quand de nouvaux TLD sont créés ? Comment le résolveur récursif sait que le serveur qui gère .xxx est à l'IP 69.69.69.69 ?

          Une limite du système serait la centralisation des "serveurs faisant autorité pour la racine". C'est-à-dire que le TLD est géré par une autorité qui peut dégager un sous-domaine qui lui plait pas.

          • [^] # Re: apt-get install unbound

            Posté par (page perso) . Évalué à 5 (+3/-0).

            Et le résolveur récursif connaît l'IP de chaque "serveur faisant autorité pour la racine" ?

            Grâce au fichier root.hints qui liste les adresses de tous les serveurs de la racine. Ce fichier est normalement fourni avec le logiciel serveur DNS (BIND ou Unbound).

            Il y a effectivement des changements au niveau des serveurs racine de temps à autre, et il faut maintenir ce fichier à jour depuis le serveur de l'IANA (cron peut faire ça automatiquement).

          • [^] # Re: apt-get install unbound

            Posté par (page perso) . Évalué à 4 (+2/-0).

            Hmmm, j'ai l'impression que vous confonderz la racine et les TLD. La racine peut ajouter (ou supprimer) un TLD. Le TLD peut ajouter (ou supprimer) les SLD (domaines de second niveau) et ainsi de suite.

      • [^] # Re: apt-get install unbound

        Posté par (page perso) . Évalué à 4 (+2/-0).

        D'abord, il faut vraiment éviter de parler de « serveur DNS » sans précision ou, encore pire, de « DNS » tout court.

        Il existe en effet deux sortes de serveurs DNS radicalement différents, les serveurs faisant autorité, et les résolveurs.

        Ici, je suppose qu'on parle des résolveurs, ces serveurs récursifs qui ne connaissent pas d'informations au démarrage et qui apprennent en interrogeant les serveurs faisant autorité.

        Ces résolveurs partent de la racine (ils doivent donc avoir « en dur » les adresses des serveurs racine) et apprennent petit à petit les adresses des autres serveurs (« hey, serveur racine, tu connais linuxfr.org ? Non, mais voici les serveurs de .org » « hey, serveur de .org, tu connais linuxfr.org ? ») Notez que l'explication Wikipédia est fausse https://fr.wikipedia.org/wiki/Domain_Name_System#R.C3.A9solution_du_nom_par_un_h.C3.B4te

        Pour assurer la fiabilité de ces informations, les domaines sérieux (pas linuxfr.org) sont signés cryptographiquement.

    • [^] # Re: apt-get install unbound

      Posté par . Évalué à 4 (+4/-0).

      Pour information, voici quelques liens qui pourraient en intéresser certains d'entre vous : (OS utilisé : OpenBSD)

      https://obsd4a.net/wiki/doku.php?id=network:config:dns_cache
      https://obsd4a.net/wiki/doku.php?id=network:config:unbound_dnssec
      https://yeuxdelibad.net/ah/#toc64

      Pour ma part, j'utilise mon propre serveur DNS (local récursif, unbound). Pour lancer ce service, j'ai notamment utilisé la commande :

      service local_unbound enable && service local_unbound start

      Alors… quel OS exploite mon portable ? ;)

  • # un peu de technique ?

    Posté par (page perso) . Évalué à 10 (+8/-0).

    http://8point8point8point8.eu.org/

    * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

  • # Ceux de Tor

    Posté par . Évalué à 2 (+0/-0).

    … qui déportent la résolution un nœud de sortie, quand on utilise le Tor Browser, ou quand on force la résolution via Tor pour tout le système.

    https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy#LocalRedirectionThroughTor
    https://tails.boum.org/contribute/design/Tor_enforcement/DNS/

    Ça a quelques défauts, mais ça marche :)

  • # Le problème des résolveurs publics

    Posté par (page perso) . Évalué à 3 (+1/-0).

    Tiens, ça m'a motivé pour écrire pourquoi les résolveurs publics ne sont pas une bonne idée.

    • [^] # Re: Le problème des résolveurs publics

      Posté par . Évalué à 1 (+1/-0).

      Merci ! ;)

      Sinon pour information

      Avant qu'on ne me dise « mais ce n'est pas Michu-compatible, M. Michu ne vas quand même pas installer OpenBSD sur un Raspberry Pi pour avoir un résolveur sur son réseau »

      Cela ne risque pas (Michu ou pas)… vu que le système OpenBSD n'a pas été porté sur une machine RPI car celle-ci n'est pas considérée comme assez ouverte (et donc sécurisée) par Theo de Raadt.

      Source : https://yeuxdelibad.net/Blog/?mode=links&id=20160603183607

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.