Journal Le DNS d'Orange bloque twitch.tv (à la Réunion)

Posté par . Licence CC by-sa.
Tags : aucun
12
8
sept.
2019

Ceci est un journal bookmark qui dénonce grave.

Depuis quelque jours je ne comprenais pas pourquoi je n'avais plus accès à Twitch (site de stream de jeux vidéo pour ceux qui ont du temps à perdre). Après enquête avec les metaexperts, il s'agissait du DNS d'Orange…

pas de description

Je passe maintenant par le DNS de la FDN

L'internet neutre a de beaux jours devant lui !

Qu'est-ce qui peut pousser Orange à faire cela ?
Et toi, tu utilises le DNS de ton FAI ?

  • # Blocage administratif

    Posté par . Évalué à 6 (+5/-0).

    Un blocage administratif chez SFR ça ressemble à ça :
    dig libgen.is @192.168.1.1 +short

    chez Orange ça ressemble à ça :
    $ dig libgen.is @192.168.1.1 +short
    127.0.0.1

    Pour twitch.tv chez orange :
    $ dig twitch.tv @192.168.1.1 +short
    151.101.194.167
    151.101.66.167
    151.101.130.167
    151.101.2.167

    Étant chez Orange, s'il s'agissait d'un blocage intentionnel ils auraient répondu "127.0.0.1". Je penche donc plus pour un souci technique.

    • [^] # Re: Blocage administratif

      Posté par (page perso) . Évalué à 6 (+3/-0).

      On voit que chez Orange (AS3215), les sondes atlas remontent pas mal d'erreur pour twitch.tv.

      https://atlas.ripe.net/measurements/22766270/#!probes

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Blocage administratif

        Posté par . Évalué à 5 (+4/-1).

        C'est quoi des sondes Atlas ?

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

        • [^] # Re: Blocage administratif

          Posté par (page perso) . Évalué à 10 (+11/-0).

          Ce sont des sondes déployées par le RIPE1 qui permettent de faire des mesures basiques (ping, traceroute, DNS)2 sur des IP. Il est donc possible de faire des mesures à partir de plein de FAI dans le monde pour vérifier le fonctionnement d'Internet.

          Ça peut être utilisé pour voir si on est le seul à avoir un problème ou pour vérifier qu'une adresse est bien joignable correctement dans le monde.

          L'exemple que j'ai donné, c'est une mesure de 50 sondes RIPE dans le réseau Orange (AS3215) qui demande la résolution DNS www.twitch.tv.

          C'est plus clair comme ça ?


          1. c'est-à-dire que n'importe qui peut en demander une, c'est donné en fonction des besoins. 

          2. il est possible de faire du HTTP et du SSL mais seulement sur des cibles particulières, les anchor, je ne vais pas m'étendre dessus. 

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Blocage administratif

            Posté par . Évalué à 2 (+0/-0).

            C'est très clair, merci bcp !

            En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

          • [^] # Re: Blocage administratif

            Posté par . Évalué à 2 (+1/-0).

            Question bête sur les sondes atlas : comment fait-on pour pouvoir lancer une requête si on n'a pas de sonde soi-même ? Si j'ai bien compris, chaque requête coûte des crédits qui sont gagnés grâce aux sondes hébergées sur son réseau. Le RIPE a toujours refusé de m'envoyer une sonde. Du coup, je ne peux donc pas faire de requêtes.

            C'est comme ça que ça marche ou j'ai loupé un épisode ?

            • [^] # Re: Blocage administratif

              Posté par (page perso) . Évalué à 4 (+1/-0).

              Je peux te donner des crédits si tu veux.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Blocage administratif

        Posté par (page perso) . Évalué à 4 (+2/-0).

        Je ne suis pas convaincu qu'il y a un problème. C'est plutôt l'affichage Web d'Atlas qui est trompeur. Quand on regarde le JSON des résultats (https://atlas.ripe.net/api/v2/measurements/22766270/results/), on n'a au contraire que des succès.

        Par exemple, la sonde 12774 est marquée comme "undefined" dans l'interface graphique alors que, dans le fichier JSON, on voit qu'elle a eu un résultat positif d'un de ses résolveurs.

        Je soupçonne que l'affichage trompeur vient des erreurs de connexion vers les résolveurs IPv6. C'est en tout cas ce qu'on voit dans les résultats bruts :

             {
                "dst_name": "fe80::3e81:d8ff:fede:fbf8",
                "error": {
                  "socket": "connect failed Invalid argument"
                },
        

        Toujours se méfier des jolies affichages graphiques !

        https://labs.ripe.net/Members/stephane_bortzmeyer/creating-ripe-atlas-one-off-measurements-with-blaeu

        • [^] # Re: Blocage administratif

          Posté par (page perso) . Évalué à 3 (+0/-0).

          Effectivement, je n'avais jamais vu ce comportement de merde de l'interface graphique. Par contre, ce qui m'a induit en erreur, c'est que j'avais une autre mesure et seulement les 3215 présentaient une erreur: https://atlas.ripe.net/measurements/22766261/#!probes

          (accessoirement, je n'avais pas blaeu sur le PC sur lequel je faisais les tests, du coup je me suis rabattu sur l'interface web)

          C'est un peu dommage que l'interface web ne donne pas pas une vue utilisable, ça empêche de partager les résultats facilement.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Blocage administratif

          Posté par . Évalué à 3 (+1/-0).

          Tiens, après frnog je vois passer ta constatation ici : je suppose que le problème est que le résolveur ici indiqué avec une adresse de liaison locale est mal utilisé par l'outil de la sonde Atlas, sans expliciter l'indice de la zone du lien (ça fait un peu bizarre en français) ; le nom de l'interface (sous Linux), quoi. C'est bien géré par un rdnssd qui l'ajoute correctement avec %eth0 dans /etc/resolv.conf (testé ici), mais peut-être que la sonde Atlas le fait mal. En tous cas « Invalid argument » est l'erreur renvoyée en cas d'utilisation d'adresse LL sans index de zone (vu souvent ici quand on utilise mDNS avec du link-local, qui ne fonctionne pas sous Linux depuis toujours, en attendant un changement d'API interne de la libc pour le corriger, depuis… des lustres).

  • # Un bug ?

    Posté par . Évalué à 2 (+1/-0).

    J'ai aussi remarqué ces soucis de DNS pour www.lemonde.fr (mais étrangement pas lemonde.fr), www.theguardian.com et www.reddit.com.

    Donc à moins d'une volonté surprenante de censure des sites d'informations, je pencherais plus pour un problème technique. D'autant plus que le réseau mobile d'Orange re continue à bien fonctionner.

    Par contre, je m’interroge sur la source du bug assez sélectif ; le reste d'Internet marche très bien.

    • [^] # Re: Un bug ?

      Posté par . Évalué à 2 (+1/-0).

      Mes parents sont passé chez Orange récemment et depuis, ils ont parfois des erreurs (temporaires) "Domaine introuvable" vers mon propre domaine (chez GANDI). Donc je suppose moi aussi un problème dans leurs DNS…

      Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers

    • [^] # Re: Un bug ?

      Posté par (page perso) . Évalué à 7 (+4/-0).

      Marrant, tous les www que tu cite sont des alias de fastly (contrairement au domaine sans www).

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Merci pour les DNS FDN

    Posté par . Évalué à 3 (+1/-0).

    Vous en connaissez d'autres des DNS libres ?

    • [^] # Re: Merci pour les DNS FDN

      Posté par . Évalué à -1 (+0/-1).

      Les dns OpenNIC qui permettent de résoudre par ailleurs d'autre TLD que ne gère l'IANA.

    • [^] # Re: Merci pour les DNS FDN

      Posté par . Évalué à 2 (+1/-0).

      Celui que tu installes toi-même.

      • [^] # Re: Merci pour les DNS FDN

        Posté par . Évalué à 2 (+0/-0).

        Tout a fait d'accord :)

        Mais il faut le maintenir … et la c'est moins drôle …

        Et en cas de panne le reste de de la famille ne veux surtout pas entendre parler de planning, hors contrat etc .. bref tu dois réparer t'as pas le choix.

        • [^] # Re: Merci pour les DNS FDN

          Posté par . Évalué à 1 (+0/-1).

          Un OpenWRT ça tourne tout seul (avec dnsmasq en resolver). Une MàJ majeure tous les 3-4 ans — et encore — mais le reste du temps ça tourne tout seul.

          • [^] # Re: Merci pour les DNS FDN

            Posté par (page perso) . Évalué à 5 (+3/-0).

            Une MàJ majeure tous les 3-4 ans

            Traduction : un routeur troué sauf une fois tout les 3-4 ans.

            • [^] # Re: Merci pour les DNS FDN

              Posté par . Évalué à 2 (+0/-0).

              Traduction : un routeur troué sauf une fois tout les 3-4 ans.

              Même pas : je le fais avec un ou deux ans de retard, juste pour ne pas traîner des configurations trop anciennes qui deviendraient in-migrables. Si tu es si sûr que la box de ton FAI est bien mise-à-jour et sécurisée, bah mon impression c'est que ça n'est pas du tout le cas. (OK, impression seulement)

        • [^] # Re: Merci pour les DNS FDN

          Posté par . Évalué à 10 (+9/-0). Dernière modification le 11/09/19 à 14:12.

          La maintenance c'est la vie. ça fait partie des taches ménagères. Et puis, c'est un peu limite, mais si notre conjoint nous propose d'aller descendre les poubelles, on peut alors lui répondre qu'on a pas le temps vu que l'on doit réparer internet qui est cassé et du coup, on peut mouler peinard sur linuxfr à la recherche de conseils avisés au lieu de se taper les autres corvées.

          Et au final, on passe pour des héros alors qu'en fait on est juste de grosses feignasses.

          Faut pas gonfler Gérard Lambert quand il répare sa mobylette.

        • [^] # Re: Merci pour les DNS FDN

          Posté par (page perso) . Évalué à 2 (+0/-0).

          Ceci dit, une fois installé, un résolveur ne tombe que très rarement en panne. Il n'y a que DNSSEC qui nécessite du soin.

    • [^] # Re: Merci pour les DNS FDN

      Posté par (page perso) . Évalué à 1 (+0/-1).

      Ceux de cloudflare ont bonne réputation point de vue vie privée, mais encore faut-il avoir confiance.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.