Connexion
Abonnez-vous

Google.fr bloqué pour apologie du terrorisme suite à une « erreur humaine » d’Orange

Orange mécanique

Google.fr bloqué pour apologie du terrorisme suite à une « erreur humaine » d’Orange

Le 17 octobre 2016 à 09h32

L’incident risque de devenir l'un des plus beaux contre-exemples des procédures de blocage. Ce matin, Google.fr et fr.wikipedia.org notamment ont été qualifiés de sites faisant l’apologie du terrorisme sur les écrans des abonnés Orange. Et ils ont été bloqués pour ce motif. Contactée, Orange invoque l'erreur humaine.

Durant de longues et douloureuses minutes, au lieu et place de la page d’accueil de Google.fr, utilisée par des millions de personnes chaque jour, des abonnés Orange (et de Sosh) sont arrivés sur la page du ministère de l’Intérieur réservée aux sites bloqués pour apologie du terrorisme (http://90.85.16.52/, pour plus de détails, notre actualité). 

Et le site du ministère n'a évidemment pas tenu la charge

« Les résolveurs DNS d’Orange, utilisés par la majorité des abonnés, ont redirigé www.google.fr vers l’adresse IP de la page de censure gérée par un sous-traitant du ministère » nous commente Stéphane Bortzmeyer, architecte systèmes et réseaux, spécialisé dans les questions de DNS. « Le site n’a pas tenu la charge, donnant alors l’impression que Google était en panne. En réalité, il n’est pas ‘down’, Google.be fonctionnant parfaitement. »

Voilà pourquoi les gens utilisant d’autres résolveurs que ceux fournis par Orange n’avaient aucun problème d’accès. En façade, Google.fr a ainsi été dénoncé d’abord comme « site terroriste » puis site en panne. Un lourd déficit d’image (voir le succès du hashtag #GoogleDown) même si l’incident n’a duré que quelques dizaines de minutes. « Je n’en connais pas encore les raisons, au pifomètre, cela a duré une demi-heure ». 

Google.fr n’est pas le seul site à avoir souffert de ce bug. Selon Stéphane Borztmeyer ( et ), http://fr.wikipedia.org et OVH.com ont également été détournés vers la fameuse Main Rouge (remplacée depuis par un point d'exclamation)  de Bernard Cazeneuve.

Premières pistes d'explications 

Quelles sont à tout le moins les pistes d’explications ? « La liste des noms de domaine à censurer est transmise aux principaux fournisseurs d’accès. Cela peut être une erreur dans cette liste, un problème de vérification. Cependant, dans une telle hypothèse, d’autres FAI auraient sans doute dû être impactés. Autre suggestion, une erreur un peu plus loin chez Orange. Tout est possible à ce stade. »

À la vue de cet exemple, Stéphane Bortzmeyer l’assure : « l’ajout de toutes fonctions dans Internet à des fins de censure fragilise le réseau, en rajoutant d’autres acteurs et composantes qui peuvent dysfonctionner ». Celui-ci craint désormais un dommage collatéral : « un nombre incalculable de personnes vont abandonner les résolveurs de leur FAI pour utiliser ceux fournis par de grosses boites américaines comme CISCO, ce qui n’est pas un progrès globalement ».

Nous avions contacté l’OCLCTIC (qui gère la partie juridique du blocage administratif des sites terroristes) et Orange pour comprendre l’origine exacte. Le FAI vient de nous répondre.

Une erreur humaine, selon Orange

« Il s'agit d'une erreur humaine lors d'une opération technique sur un serveur » commente l’opérateur sans plus d'explications, avant de préférer s'attarder sur les effets seulement potentiels (sic) de cette curieuse erreur : « Nos clients ont pu rencontrer des difficultés à se connecter sur le site Google.fr et Wikipedia.fr et se voir reroutés vers un message du ministère de l'Intérieur. L'incident a duré environ une heure. L'accès au site est en voie de rétablissement. Le problème est résolu, mais le trafic sera de nouveau nominal à 11h25. »

Le FAI ajoute : « Il est possible que certains clients doivent vider leur cache ou rebooter leur box, mais tout est résolu », avant de s’excuser « pour la gêne occasionnée ».

Commentaires (235)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est dingue les conneries que font les stagiaires ! <img data-src=" />



Vivent les DNS alternatifs !! <img data-src=" />

votre avatar

C’est normal qu’il n’y ait plus de trafic quand l’Orange passe au rouge. <img data-src=" />

votre avatar

Comprend pourquoi je ramais ce matin au boulot avec google.<img data-src=" />

votre avatar

Le pire, c’est que ça doit pas être loin de la vérité …. (pour le stagiaire)….

votre avatar

Wikipedia et Google encore bloqué au boulot T_T

votre avatar







Soriatane a écrit :



Wikipedia et Google encore bloqué au boulot T_T





Vide ton cache DNS: exécute : ipconfig /flushdns (sur Windows of course)


votre avatar







John Shaft a écrit :



T’es censé bosser, pas glander sur Wikipedia <img data-src=" />



<img data-src=" />





Je vais redémarrer la box, ça me fera 20 minutes de pose <img data-src=" />


votre avatar

Sauf que pour les services de la LB et du décodeur, Orange doit sans doute avoir fortement besoin d’utiliser ses DNS “interne orange” avec des enregistrements régionalisés. Assez classique dans une architecture grande échelle.

Je me pose d’ailleurs la question des histoires de cache et autre CDN présent sur le réseau Orange. Parce que si tu utilises les DNS Google et que du coup tu vas chercher toutes tes données aux USA au lieux de les prendre en France, je suis pas certain que tu ais gagné au change.

votre avatar

Le problème c’est qu’en plus dans ces foutues livebox orange on ne peut même plus mettre un autre DNS que celui d’orange

votre avatar

<img data-src=" />

votre avatar







eglyn a écrit :



Vide ton cache DNS: exécute : ipconfig /flushdns (sur Windows of course)





Ouais bein c’est sans effet.


votre avatar

Le nombre de personnes autour de moi pour qui internet=google &gt;&lt;

votre avatar

Ouch. Du coup, obligé de faire ça machine par machine. Et dans le * pour les smartphones, consoles et je ne sais quoi qui sont ont besoin d’un accès Internet sur lesquels ont ne peut pas toucher à la config DNS.



Il y a Internet et Internet par Orange <img data-src=" />

votre avatar







John Shaft a écrit :



Ouch. Du coup, obligé de faire ça machine par machine. Et dans le * pour les smartphones, consoles et je ne sais quoi qui sont ont besoin d’un accès Internet sur lesquels ont ne peut pas toucher à la config DNS.



Il y a Internet et Internet par Orange <img data-src=" />





Faut te passer de la box pour le DHCP ce sera plus simple :)

Utilise un autre serveur DHCP ^^



Mais j’avoue que je suis surpris qu’on ne puisse pas changer la config des DNS&nbsp;


votre avatar

J’utilisais les résolveurs de FDN et j’avais le problème.

votre avatar

C’est pas vraiment une raison :




  • Free donne la possibilité de changer le dns, ce que je faisait, et je n’ai jamais eu de soucis avec

  • Je n’ai pas de tv orange, ni telephone, uniquement des ordinateurs

  • Je n’utilise pas que le dns de google, seulement lorsque j’ai pas les ip d’autres dns sous la main(8.8.8.8 c’est plutot facile à mémoriser ^^)



    Et puis plus que ça, ne pas vouloir donner la possibilité de le changer est juste inadmissible pour ma part, il y a beaucoup de raisons à vouloir le changer, et l’exxuse du “la pluspart des users ne s’en servent pas” me rende triste chaques jours&nbsp;<img data-src=" />

votre avatar

Le site du ministère de l’intérieur ne répond plus? C’est l’Irak, l’Afghanistan, la Libye ou la Syrie qui l’ont bombardé avec des avions français? <img data-src=" />

votre avatar

OK. Abonnement gratuit Orange sur présentation d’une Fiche S.

Bonne idée !

votre avatar

« Il s’agit d’une erreur humaine lors d’une opération technique sur un serveur » commente l’opérateur. « Nos clients ont pu rencontrer des difficultés à se connecter sur le site Google.fr et Wikipedia.fr et se voir reroutés vers un message du ministère de l’Intérieur. L’incident a duré environ une heure. L’accès au site est en voie de rétablissement. Le problème est résolu, mais le trafic sera de nouveau nominal à 11h25. »



ca veut surtout dire qu’ils sont en train de bien nous la mettre profonde et d’orienter Toutes nos recherches ….



E n plus de falsifier les DNS …



Donc 8.8.8.8 et surtout VPN Russe.



MAis plus que tout on appelle cela de la dictature , quand c’est en Chine on appelle de cela comment ?



“Les français sont des veaux”

votre avatar







ledufakademy a écrit :



“Les français sont des veaux”





C’est ce que disait le pape en voyant les fidèles français prier, il s’est exclamé : “les français sont dévots !”.


votre avatar

Une petite liste de serveurs DNS public au cas où : Liste à utiliser en cas de panne <img data-src=">

votre avatar







Just1_ a écrit :



tu m’étonnes!!! tous les abonnés Orange (fixe ET mobile) qui essaient d’accéder à Google ou wikipedia (souvent en venant de google) ça fait un sacré paquet de personne!&nbsp;<img data-src=" />





Mince alors, si on n’a plus le droit de taper Google dans la barre de recherche pour faire une recherche sur Google !?😂


votre avatar

lol, tu crois que la box suis QUE les DNS saisies ?



ah ah.



Quand vous aurez compris qu’une BOx est un corps étrangers à votre réseau vous aurez progressé … un peu.


votre avatar

D’aprés vous pourquoi vous ne pouvez pas vous accrocher directement aux DNS root ?

votre avatar

Pour ceux qui en auraient assez de l’incroyable inefficacité d’un service DNS qui, de plus, est &nbsp;intrusif ; pas besoin de partir chez cisco… :



&nbsp;&nbsp;https://www.opennicproject.org/

votre avatar

Merci pour l’information. Cmd.exe m’indique bien que le cache a été vidé mais toujours pas de Google et de fr.wikipedia.org <img data-src=" /><img data-src=" />



Après on n’a pas une box comme les particulier mais un grand machin qui s’imbrique dans la baie de distribution.

votre avatar

Je ne parle même pas de ça, mais qu’on puisse au moins changer le dns par défaut.



Et c’est bien beau de vouloir remplacer la box par un modem, mais actuellement je suis pas sur d’avoir les compétences pour prendre un modem compatible openWRT et de le configurer correctement pour le rendre compatible avec le reseau orange.



Et je parle même pas du prix, étant pas encore riche, le modem le moins cher que j’ai pu trouver est quand même à 100 balles, ça me ferait chier d’acheter un materiel à ce prix si je n’arive pas à el faire fonctionner correctement&nbsp;<img data-src=" />

votre avatar

Perso je n’ai plus le blocage sur google.com mais impossible d’accéder à youtube.com sans modifier les DNS justement.

Pas de redirection vers le site du ministère de l’intérieur ^^

votre avatar

et qui dit que ça pas été fait exprès juste pour montrer la stupidité de la lois et du blocage par DNS ?

votre avatar

“Erreur humaine”, et la marmotte…

votre avatar

Heu.. parce qu’ils ne sont pas fait pour ça?

votre avatar







maxoux a écrit :



C’est d’ailleurs une bonne occasion de forcer orange a nous laisser changer le dns de la box non ?

Perso je trouve cela inadmissibie de ne pas nous laisser le choix de changer le dns, j’ai une dizaine d’appreil chez moi et c’est rellement une plaie de ne pas pouvoir le faire directrement depuis la box&nbsp;<img data-src=" /><img data-src=" />





Tu peut pas le changer sur ton pc? la box s’en fiche et passe outre?


votre avatar

Oui très facile, protocole dédié qui utilise le port 53 (soit en dest ou source suivant le sens dans lequel tu te places)&nbsp; souvent en UDP. Après tu as la possibilité de chiffrer le trafic DNS, très peu répandu aujourd’hui, et tu as DNSSEC qui permet de prouver l’authenticité, l’intégrité et la preuve de non existence d’un enregistrement à l’aide d’un système de signature (pour faire rapide).



Rien n’empêche le FAI propriétaire du serveur récursif de spoofer une réponse effectivement, c’est pour ça qu’il vaut mieux avoir son propre serveur (après tu as l’attaque de cache poisoning) que de faire confiance à un tiers type google, des open resolver que tu trouves en pagaille sur le net.

Le FAI étant sous le coup de la loi française, mentir sur autre chose que ce qui est décidé par l’Etat (blacklistage réglementaire) est très dangereux pour eux.

votre avatar

Pour résumé, quelle est ta recette : quels DNS utilises tu ?

votre avatar

Autre truc , les FAI ne doivent surement pas prioriser le traffic DNS (53 upd/tcp) sur les routeurs BGP (inter fai etc) …



DONC :



est-ce que se passer du dns fai pénalise en terme de perf ?



(avec les caches je dirai non .. mais bon …)

votre avatar

Le mien, j’ai testé BIND/unbound ça marche bien. Ensuite tu peux utiliser un routeur comme le omnia turris (un peu cher) qui a un serveur DNS.

Parfois tu dois passer par le DNS de ton FAI pour accéder à certains services donc tu switches.



&nbsp;

votre avatar

Les caches contiennent environ 90% des réponses, donc clairement pas pénalisé. Après clairement que si utilises un récursif où faut que tu te manges un lien transatlantique forcément tu vas le sentir (200ms de moyenne).

Suivant l’opérateur certains flux sont séparés dans des VLAN et donc “priorisés” avec des seuils, ce qui passe au dessus est droppé ni plus ni moins.

Le DNS étant la base de l’internet, pas de service DNS peu de monde navigue, je pense pas qu’ils s’amusent à leur mettre une priorité de merde pour faire passer du netflix.

votre avatar

Pour l’aspect légal, je suis bien d’accord.



Mais justement, si l’état demande de bloquer un domaine, il est tout à fait loisible au FAI de bloquer les requêtes

DNS sur ce nom même si elles sont adressées à 8.8.8.8



Donc certaines personnes se font des illusions sur leur capacité à contourner des blocages: La vraie raison n’est pas leur compétence certes au-dessus de la moyenne, mais la volonté des FAIs de se contenter du minimum pour pouvoir dire «on a essayé»

&nbsp;

votre avatar

Oui c’est possible théoriquement pour un FAI mais :





  • Cher car il faut des routeurs capables de gérer ce genre de règles en nombre, déployer ces règles sur chaque routeur de ton réseau de collecte à chaque NI, NO, NE, point de peering tout ça.

  • Empiler des règles réseaux de merde comme ça c’est une dégradation des perfs des routeurs (traitement paquets etc..)

  • Empiler des règles c’est aussi plus de chance de faire une erreur lors d’une reconfiguration de l’équipement ou un debugging

  • Tous les équipements réseaux ne sont pas gérer par la même équipe, à contrario des DNS (à fortiori) donc t’évites des échanges longs, douloureux et quiproquo



    Si aujourd’hui les FAI ont choisi le DNS c’est parce que ça coûte rien, le process est très simple et c’est centralisé (pas comme les X routeurs que tu as au quatre coins de ton réseau).

votre avatar







Bobmoutarde a écrit :



[…]

Si aujourd’hui les FAI ont choisi le DNS c’est parce que ça coûte rien, le process est très simple et c’est centralisé (pas comme les X routeurs que tu as au quatre coins de ton réseau).&nbsp;



Et que ça évite de méconter les clients tout en faisant plaisir à ceux qui ont demandé le blocage


votre avatar

Il me semble que j’ai été affecté par ce problème hier.

Mais pas sûr que ça soit ça, j’avais pas la “main rouge”, juste un écran blanc.

Mais j’utilise les DNS d’OPENDNS sur un serveur DNS local maison, peut-être que ceci explique cela ?

&nbsp;

(genre Orange ont un DNS menteur + un autre moyen de bloquer même si ça passe pas par leur propres DNS)

votre avatar







ignace72 a écrit :



Ben il n’y a pas de débat. La censure existe. C’est un fait. Je pense que si il y a débat, c’est de savoir si une censure d’état est légitime.





C’est beau la démocrature !


votre avatar

Non si tu n’utilises pas les serveurs récursifs d’Orange ils n’ont pas de moyen autre de te bloquer. L’écran blanc était certainement dû au fait que les serveurs lamainrouge était mort sous le flood des clients redirigés chez eux

votre avatar

OpenNIC pas OpenDNS pardon.

Donc à priori on est immunisé contre ce type de censure là (DNS) si on utilise autre chose que les DNS d’orange par défaut ?

Ne peuvent-il pas aussi utiliser d’autre moyen que leur bêtes serveurs DNS ? à coup de DPI par exemple ?

votre avatar

Ca coute beaucoup trop cher de faire du DPI vu le nombre de requête à traiter, 35 millions de clients pour Orange ça en fait un paquet d’IPS pour filtrer tout ça… Au pire tu VPN et ils ne peuvent rien y faire puisque ce n’est plus taggé comme DNS.



&nbsp;Le but de l’opérateur est d’appliquer la loi, bloquer le site par un moyen. Ils le font par DNS car pas cher, ni plus ni moins. Ils sont pas là pour faire chier dans les pires stratégies l’abonné.

Le problème des autres serveurs récursifs (openDNS, google etc…) c’est que vos données partent vous ne savez où, sont certainement monnayées. Je vous conseille sincèrement d’utiliser vos propres DNS (un petit BIND/unbound/powerDNS) ça tourne même sur un raspi ou c’est embarqué directement dans certains routeurs.

votre avatar

Moi pas comprendre,



il me semble que toutes les box proposent un serveur DNS en local en sus du NAT et DHCP, ne serait-ce que pour mettre en cache les requêtes et éviter des round-trips dispendieux hors du LAN.      

&nbsp;

Box dédiée ou Rasp/Debianbox tu dois bien à un moment configurer l'interface réseau pour taper dans des DNS sur le WAN nan ? Pour ensuite redistribuer en aval les bons pointages aux machines connectés en LAN au serveur DNS local &nbsp;(dnsmasq, BIND...).



&nbsp;



C'est la compréhension que j'ai des systèmes DNS en tout cas, à la fin il faut bien puiser dans une autorité "de confiance" de DNS. Ou alors à moins d'héberger tous les annuaires du monde jusqu'à l'ICANN lol.    



T’auras toujours du eavesdropping&nbsp;c’est sans fin.

&nbsp;

Ou alors bypasser complètement les services de DNS -&gt; avec TOR ou des projets fondés sur la Blockchain (autorité P2P décentralisée).




&nbsp;      

&nbsp;Quant à la neutralité d'OpenNIC, je sais pas ce que ça vaut, mais c'est souvent conseillé pour &nbsp;configurer son serveur DNS local sur des sites FOSS friendly (autrement que ceux de Google, 8.8.8.8).
votre avatar

Dans les box (notamment sur celle d’Orange) c’est un simple dnsmasq qui ne fait pas de résolution (juste du caching/redirection vers les vrais récursifs Orange).

Comme dans ta box il y met les VIP DNS Orange, par défaut sur tes équipements tu dois être en prendre les paramètres par défaut de la passerelle.

Si tu les changes tu n’auras aucun souci (type 8.8.8.8) au niveau de l’opérateur, c’est ni plus ni moins qu’un simple routage qui envoie ton paquet DNS vers les serveurs que tu as choisis (il n’y a aucun contrôle fait par l’opérateur ou juste des stats).

&nbsp;

Pour le eavesdropping oui et non, aujourd’hui c’est certainement le cas il doit y avoir des stats sur le nombre de clients qui utilisent des DNS autre que celui du FAI, la possibilité peut être aussi de voir le contenu des paquets (projet big data) mais ça coûte très cher ! Pour le DNS, tu as des extensions pour chiffrer ton trafic, une fois chiffré ton opérateur ne pourra rien faire (enfin pas dans l’immédiat)

votre avatar

j’ai déjà la cavalerie à la maison , je roule avecun parefeu qui coutait 2500 €uros il y a 2 ans … donc pas de souci.



Quels sont tes redirecteurs ? (j’ai un BIND en interne)

votre avatar

Comme quoi ils avaient raison, on peut tomber “en toute bonne foi” sur des sites faisant l’apologie du pédoterrorisme

votre avatar

tu m’étonnes!!! tous les abonnés Orange (fixe ET mobile) qui essaient d’accéder à Google ou wikipedia (souvent en venant de google) ça fait un sacré paquet de personne!&nbsp;<img data-src=" />

votre avatar



« un nombre incalculable de personnes vont abandonner les résolveurs de leur FAI pour utiliser ceux fournis par de grosses boites américaines comme CISCO, ce qui n’est pas un progrès globalement »





Clairement oui.

votre avatar







Etre_Libre a écrit :



Edit : ajout : avec d’autres DNS, ça ne semblait pas fonctionner non plus tout à l’heure.





Fallait vider le cache, ce matin sur le fofo on s’est dépanné en mettant les DNS Google.


votre avatar

Joli fail…



Comme dit par quelqu’un qui s’y connaît :





À la vue de cet exemple, Stéphane Bortzmeyer l’assure : « l’ajout de toutes fonctions dans Internet à des fins de censure fragilise le réseau, en rajoutant d’autres acteurs et composantes qui peuvent dysfonctionner ».





ET comme c’était prédit:





Celui-ci craint désormais un dommage collatéral : « un nombre incalculable de personnes vont abandonner les résolveurs de leur FAI pour utiliser ceux fournis par de grosses boites américaines comme CISCO, ce qui n’est pas un progrès globalement ».





Pour les DNS, c’est déjà fait chez moi. Ça me permet d’avoir TPB tranquille…



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

Trafic Orange vers google.fr <img data-src=" /> <img data-src=" />



Ce fail de l’agrume nous indique ceci dit que l’infra des censeurs n’est pas pour l’instant dimensionné pour du massif, c’est un détail intéressant

votre avatar

Donc globalement tous les sites peuvent être bloqués sans l’accord d’un juge… Techniquement, Google a perdu des “visiteurs” durant 30minutes (un chiffre négligeable) mais si cela arrive sur tous les DNS de FAI Français (DNS utilisé souvent par défaut par le grand public), qu’arrive-t-il ? Les sites visés peuvent-ils portés plainte car c’est leur chiffre d’affaire qui le subit ?





On commence enfin à voir les dérives qu’on nous signale depuis plusieurs années … Ca ressemble à un mec qui s’est dit : “Tiens on va faire le test, tu veux prendre quels sites ?” “Euh bah google et puis wikipedia tiens” “Ok vas-y c’est rajouté, tu testes ?” “Ouais attends que la réplication DNS fonctionne, mon poste est pas en première ligne” “Et là ?” “Ouais c’est bon, tu peux rollback”.

votre avatar

En quoi ?

votre avatar

Tu ne t’es pas installé un Unbound ?



Quand on a 2-3 connaissances techniques, c’est pas trop dur à faire tourner

votre avatar

Ça va en faire des fichés S…

votre avatar

<img data-src=" />

votre avatar

Merci de l’info, je testerai ça alors, je n’avais pas pris le temps tout à l’heure. <img data-src=" />

votre avatar

C’est juste un test grandeur nature pour la prochaine demande de censure <img data-src=" />



Je suis chez Orange mais j’ai vu le problème uniquement sur Twitter, merci Qwant <img data-src=" />





Le problème est résolu, mais le trafic sera de nouveau nominal à 11h25





Ca veut dire quoi, un trafic nominal ?

votre avatar

Bien content d’être passé depuis un bail sur des DNS OpenNIC tiens…



Mais je le savais que Google préparait un gros coup, ce sont des terroristes !&nbsp;<img data-src=" />

votre avatar

Je suis abonné Orange et avec les DNS Google je n’ai pas vu le problème. Faut dire que le filtrage par DNS, c’est franchement débile.



Et oui les DNS Google c’est le mal mais au moins ils ne mentent pas, eux. Avec nos lois actuelles impossible de faire confiance à des DNS français.

votre avatar

Je commençais à penser qu’il y’avait un incident dans le data centre d’orange ou je bosse. L’un de mes collègues avait débranché le mauvais câble.&nbsp;



AU final, ça montre la stupidité de cette loi/

votre avatar







Soltek a écrit :



Fallait vider le cache, ce matin sur le fofo on s’est dépanné en mettant les DNS Google.





Ce qui est plutôt ironique <img data-src=" />



Mais cela confirme le “dommage collatéral” qu’évoque Bortzmeyer… <img data-src=" />


votre avatar

Bon faites comme moi ici : montez votre propre DNS soit sur votre poste, soit dans un petit raspberry pi qui reste sur le réseau de la maison et n’utilisez plus le DNS du FAI, on encore, paramétrez à la main les paramètres réseaux en choisissant des DNS propres (OpenDNS ? FDN…).



Mince, je risque la censure pour apologie du terrorisme ! vite, modérez-moi ! ;-)

votre avatar

nominale en réseau veut dire : en situation normal



Par opposition à “dégradé”

votre avatar

J’ai plus accès à Wiki ce matin, et je viens de vérifier, Google est bloqué <img data-src=" />

Bon pour Google depuis que j’utilise Qwant à 99%…

votre avatar

Ah, voilà pourquoi ça coinçait ce matin au bureau ! (ligne pro Orange)

&nbsp;







Haken Trigger a écrit :



Bien content d’être passé depuis un bail sur des DNS OpenNIC tiens…



Mais je le savais que Google préparait un gros coup, ce sont des terroristes !&nbsp;<img data-src=" />





Si tu as les IP, je vais les mettre à la place de celles d’Orange. Demande expresse de mon patron, qui vient de lire l’article…


votre avatar

@Marc: fr.wikipedia.org et wikipedia.fr ne sont pas du tout les mêmes noms de domaines et ne pointent pas aux mêmes endroits.



edit: le .org est inaccessible et le .fr est ok

votre avatar







Haken Trigger a écrit :



Bien content d’être passé depuis un bail sur des DNS OpenNIC tiens…



Mais je le savais que Google préparait un gros coup, ce sont des terroristes !&nbsp;<img data-src=" />











Torre Torinese a écrit :



Ah, voilà pourquoi ça coinçait ce matin au bureau ! (ligne pro Orange)

&nbsp;





Si tu as les IP, je vais les mettre à la place de celles d’Orange.

Demande expresse de mon patron, qui vient de lire l’article…





Voila, on utilise Opennic et on est tranquille <img data-src=" />



https://www.opennicproject.org/


votre avatar

valeur nominal : en l’absence de l’influence d’une variable donnée.

votre avatar

Toujours bloqué sur box Orange pro.

Chapeau les mecs <img data-src=" />

votre avatar

Au lieu de faire confiance à ton FAI (qui répond au droit francais) tu vas faire confiance à un tiers qui répond aux droits d’un autre pays en terme de :




  • mensonge DNS (bloquage entre autre)

  • utilisation des données récupérées



    Aussi, dans ce cas le DNS va tendre vers un unique prestataire et il y aura donc des soucis de SPoF. Ce prestataire sera aussi plus la cible des méchants de l’Internet

votre avatar

C’est d’ailleurs une bonne occasion de forcer orange a nous laisser changer le dns de la box non ?

Perso je trouve cela inadmissibie de ne pas nous laisser le choix de changer le dns, j’ai une dizaine d’appreil chez moi et c’est rellement une plaie de ne pas pouvoir le faire directrement depuis la box&nbsp;<img data-src=" /><img data-src=" />

votre avatar

Rien ne t’assures que le résolveur ne ment pas (pour des raisons commerciales ou politiques), sans parler qu’un serveur peut logguer toutes tes requêtes DNS et les filer au pouvoir politique en place.



Voir l’exemple d’OpenDNS



A défaut d’être en mesure de savoir installer et administrer son propre résolveur, il faut passer par des serveurs en qui ont peu avoir confiance. J’aurai tendance à conseiller ceux de FDN

votre avatar

Une erreur humaine, sans doute, mais ce n’est pas un hasard si les deux domaines bloqués sont des domaines associés à des sites d’info et de recherche. Il y a bien derrière une intention de filtrage, et une attention toute particulière pour ces sites.



L’erreur humaine comme justification, c’est un peu court.

votre avatar

T’es censé bosser, pas glander sur Wikipedia <img data-src=" />



<img data-src=" />

votre avatar

8.8.8.8 / 8.8.4.4

votre avatar

Ca réveillera ceux qui utilisent encore les DNS FAI

Bernard appréciera

&nbsp;

Ca sent la nouvelle loi pour réguler les serveurs DNS, ces tueurs d’enfants

votre avatar







boogieplayer a écrit :



meuh non c’est compliqué en IPv6 : 2001:4860:4860:<img data-src=" />888 et 2001:4860:4860:<img data-src=" />844&nbsp;<img data-src=" />



edit à merde ça parse un smiley alors disons : IPv6 : 2001 : 4860 : 4860 :: 8888 et 2001 : 4860 : 4860 :: 8844





je viens de tester, j’arrive pas à rentrer les smileys


votre avatar

+1

votre avatar







ledufakademy a écrit :



… éh éh.



tu as des DNS de différent niveau celui que tu vas monter dans ta cave n’aura pas accés au dns root de level 1 … c’est ainsi.



seul les fai y ont accès … (si je ne me plante pas)







Tout est dans ce que j’ai mis en gras.



Un

dig @c.root-servers.net fr NS



me renvoie bien des serveurs de nic.fr



Petit rappel : les serveurs DNS root ne servent quasiment qu’à donner les adresses des serveurs des noms de premier niveau.


votre avatar







tazvld a écrit :



TPB fonctionne très bien chez Free. Orange fait du zèle ?





Oui, ils continuent à appliquer une décision de justice qui était limitée dans le temps.

Et j’ai un peu la flemme de les emmerder pour cela. Je n’utilise pas TPB.



C’est un peu le problème de ces décisions judiciaires de filtrage : rien n’oblige le déblocage à la fin de la période.


votre avatar







darkbeast a écrit :



je viens de tester, j’arrive pas à rentrer les smileys





<img data-src=" />


votre avatar

Toujours pas de wiki.fr à 14H05.

=&gt; appel à la hotline pro 3901 :

“Vous êtes actuellement très nombreux à nous appeler” + “Au revoir et à bientôt chez Orange”.<img data-src=" />

<img data-src=" />

votre avatar

Parce que les root sont des serveurs faisant autorité gros débile, ils n’ont aucunes fonctionnalités pour faire de la “récursion”… Les mecs qui parlent sans savoir sont vraiment marrant

votre avatar

C’est l’installation d’une boîte noire qui a foiré c’est ça ? C’est pour récupérer toutes les requêtes DNS des abonnés Orange vu qu’ils ne peuvent pas changer les DNS au niveau du routeur. Et comme il doit y avoir 1 % des abonnés qui savent comment y remédier…



<img data-src=" />

votre avatar

Ben non.. le DNS ne que je vais monter dans ma cave aura autant de “privilèges” que celui de mon FAI

(fichier root.hints dans unbound)



Les root DNS ne sont pas des resolveurs, il ne font pas non plus authorité.

Il ne sont là que pour rediriger vers le DNS du TLD demandé qui ensuite redirigera vers le DNS du domaine demandé qui lui fera résolveur.



L’avantage d’utiliser les DNS du FAI ou d’un service tiers, cest de déléguer la maintenance.

L’inconvéniant, cest de faire confiance à ce tiers.

votre avatar

D.N.S d’Orange par défaut j’ai pas vu le blocage&nbsp;<img data-src=" />

votre avatar

Bien sûr que si les root font autorité sur le “.”, tu y récupèreras les NS des TLD soit fr. / com. / net. et ainsi de suite…

C’est un peu triste de voir autant de commentaires techniques alors que les gens n’y connaissent rien, et ça se permet de beugler à tout va alors que ça comprend même pas le fonctionnement basique du protocole

votre avatar

De l’avantage de se lever à 11h30 ! <img data-src=" />

votre avatar

Je n’ai jamais parlé de “.” dans mon commentaire, je faisais le focus sur le domaine.

Et donc je maintiens que les DNS roots ne font pas authorité sur , par exemple, machin.fr

votre avatar







Etre_Libre a écrit :



Edit : ajout : avec d’autres DNS, ça ne semblait pas fonctionner non plus tout à l’heure.



Si tu n’as pas vidé les DNS Windows c’est normal, ca garde le résultat foireux en mémoire un certain temps…


votre avatar

touché&nbsp;<img data-src=" />

votre avatar

Oui c’est ce que je t’explique depuis tout à l’heure, il faut forcément un serveur récursif dans la chaine. Mais le serveur root est ouvert à tout le monde, tu peux le requête il te répondra sur ce qu’il sait pas plus !

SI tu lui demandes de te résoudre www.orange.fr il te répondra uniquement qu’il connait les NS de fr. Et ça s’arrêtera là, ensuite c’est ton serveur récursif qui s’occupe de faire le reste

votre avatar

tu ne réponds pas là : :-)



Ton DNS recurcifs etc … ok , pas de souci … sauf que ton DNS recurcifs ou prends-il ses infos sur ovh.net. (par exemple) ?

(car il doit être redirecteur) … moi je te dit que tu est coincé … tu passeras forcément par un TLD (de niveau un ) et là : moooouuukkk , blocage des OIV



fr.wikipedia.org Wikipediassi.gouv.fr République Française

votre avatar

… et qui sont les NS de fr ?????



&gt; server 192.33.4.12

Serveur par dÚfaut : [192.33.4.12]

Address: 192.33.4.12



&gt; fr.

Serveur : [192.33.4.12]

Address: 192.33.4.12



Nom : fr

Served by:




  • e.ext.nic.fr

    193.176.144.22

    2a00:d78:0:102:193:176:144:22

    fr

  • d.nic.fr

    194.0.9.1

    2001:678:c::1

    fr

  • g.ext.nic.fr

    194.0.36.1

    2001:678:4c::1

    fr

  • f.ext.nic.fr

    194.146.106.46

    2001:67c:1010:11::53

    fr

  • d.ext.nic.fr

    192.5.4.2

    2001:500:2e::2

    fr





    &gt;

votre avatar

Tu n’as pas compris, tu confonds serveur faisant autorité et serveur récursif…



Faut voir le serveur qui fait autorité comme l’annuaire téléphonique et le serveur récursif comme toi/quelqu’un de te famille.

Quand tu veux le numéro de monsieur Dupont pierre, tu ouvres ton botin et tu cherches monsieur Dupont Pierre dans la ville correspondante et tu y trouves son numéro de téléphone.



Si c’est toi qui cherche le numéro de Pierre tu ne risques aucun blocage puisque c’est écrit noir sur blanc, par contre si tu demandes à quelqu’un de chercher pour toi la personne peut très bien te donner un autre numéro. Et bien pour le DNS c’est pareil. Les FAI utilisent les serveurs récursif, celui en charge de la résoudre la question (requête DNS) pour mentir. En aucun cas les serveurs faisant autorité n’ont leur mot à dire dans cette résolution donc si tu utilises ton propre serveur récursif tu ne risques aucun blocage

votre avatar

Les NS de fr. sont :

&nbsp;

fr.&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; 25337&nbsp;&nbsp;&nbsp; IN&nbsp;&nbsp;&nbsp; NS&nbsp;&nbsp;&nbsp; f.ext.nic.fr.

fr.&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; 25337&nbsp;&nbsp;&nbsp; IN&nbsp;&nbsp;&nbsp; NS&nbsp;&nbsp;&nbsp; g.ext.nic.fr.

fr.&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; 25337&nbsp;&nbsp;&nbsp; IN&nbsp;&nbsp;&nbsp; NS&nbsp;&nbsp;&nbsp; e.ext.nic.fr.

fr.&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; 25337&nbsp;&nbsp;&nbsp; IN&nbsp;&nbsp;&nbsp; NS&nbsp;&nbsp;&nbsp; d.nic.fr.

fr.&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; 25337&nbsp;&nbsp;&nbsp; IN&nbsp;&nbsp;&nbsp; NS&nbsp;&nbsp;&nbsp; d.ext.nic.fr.



après c’est ton serveur récursif qui choisit lequel il va aller interroger, ils sont tous identiques ! Donc peu importe lequel il requête t’auras la même réponse !

votre avatar

ca j’ai compris, pas de souci.



Ce qui me gène c’est que quoi qu’il arrive tu tombes sur ces serveur TLD (niveau1) et donc le blocage DNS est fait à ce niveau et bien on ne peut rien y faire ?

that’s it ?



pour moi c’est l’afnic … mais l’afnic c’est un société avec un chiffre d’affaire de 13 millions d’euro en 2012 ..

“L’AFNIC est composée de membres : représentants des pouvoirs publics, Bureaux d’enregistrement (qui commercialisent les noms de domaine), personnes morales (associations d’utilisateurs, etc.), personnes physiques (particuliers) et associations ou organisations nationales ou internationales.”

votre avatar

Non non le blocage n’est pas fait au niveau du TLD, le blocage est fait chez ton FAI qui créé un faux serveur faisant autorité sur sa plateforme sur lequel il redirige toutes les requêtes de type XXX.terrorisme.fr / jeregardeduporno.com etc.. Ta requête DNS ne sort même pas de sa plateforme, elle est directement envoyé sur ce faux serveur faisant autorité qui ment sur la réponse.

C’est poru ça que si tu utilises un autre DNS que celui des FAI tu n’auras pas de blocage (ou très peu dépend du pays/loi/statut de l’entité qui héberge le serveur récursif)

votre avatar

Donc … on est d accord blocage niveau TLD …. (j’ai bien compris que le FAI son DNS je m’en fous, je peux aisément le bypasser) … mais les TLD : c’est un autre histoire !



Et ce qui me gène c’est qu’il suffit d’agir à ce niveau pour bloquer une reqête DNS !



Ce que tu soulignes d’ailleurs : “ou très peu dépend du pays/loi/statut de l’entité qui héberge le serveur récursif”

votre avatar

Sur l’afnic qui détient et gère les TLD :



Missions



Les missions de l’AFNIC sont définies à l’article 2 de ses statuts4.



Pour favoriser le développement de l’Internet en France, l’objet de l’Association est d’assurer les missions suivantes :




 l'attribution et la gestion des noms de domaine de l'Internet mentionnés à l'article L.45 du code des postes et des communications électroniques,   

le développement de services support pour les applications de l'économie numérique et leur fourniture aux prestataires de service,

le transfert, au plan national et international, des connaissances et des savoir-faire acquis,



toute mission qui lui aura été confiée par les pouvoirs publics dans le cadre de la gestion de l’Internet.

votre avatar

C’est ici :



legifrance.gouv.fr République FrançaiseC’est bien contrôlé par l’état, sous couvert d’etre une assoc. :



Mise en place d’un dispositif de notification aux services de l’Etat

des atteintes ou tentatives d’atteintes à la sécurité du service





L’office d’enregistrement définit avec l’Agence nationale de sécurité des systèmes d’information, dans le cadre d’un protocole de sécurité un dispositif de notification des atteintes ou tentatives d’atteintes à la sécurité de son service.





Modalités d’audits de la sécurité

et de la résilience des infrastructures





Les modalités d’audit de la sécurité et de la résilience des infrastructures de l’office d’enregistrement sont définies entre l’office d’enregistrement et l’Agence nationale de sécurité des systèmes d’information dans le cadre d’un protocole de sécurité.

votre avatar

C’est hallucinant comment internet a été verrouillé en si peu d’année !

votre avatar

je me demande si il n’existe pas un moteur de recherche/outil pour avoir une cartographie du web via les adressage IP public , et pas avec les FQDN

votre avatar

Oui et non parce que le TLD n’est requêté que si dans ta requête tu utilises ce TLD, tu n’iras jamais voir les NS de l’AFNIC pour un domaine en .net / .com etc..

Il faudrait demander à tous les TLD de faire les blocages de sa branche (théoriquement faisable), et chaque TLD est établit dans un pays avec des lois différentes donc pas possible. Aujourd’hui la France ne peut pas forcer l’entité qui s’occupe du .com à bloquer le domaine jesuisunterro.com, tu ne peux pas non plus demander aux Chinois de bloquer terrorisme.cn ils vont te rire au nez.

Du coup le moyen le plus simple, qui touche le plus de monde (mais qui est facilement contournable) est de bloquer au niveau des serveurs récursifs parce que tout le monde passe par là de base (avant toutes modifications de la part du client) avec l’accès internet du FAI français. Et là tu peux bloquer n’importe quel domaine grâce au faux serveur faisant autorité avec redirection des requêtes qui arrivent sur le serveur récursif, ça ne sort pas de la plateforme du FAI donc aucune chance d’aller attraper le bon enregistrement DNS, du coup BAM on te ment et on t’envoie sur la jolie page qu’on a vu hier en fonction du site que tu visites (terrorisme, pedoporno, blocage arjet et j’en passe)

votre avatar

je le voyais pas comme cela ! (shame on me)

en effet avec les transferts de zones tu peux pas bloquer au niveau TLd : yep.

sinon tu pourris les autres … TLD , mondiaux ! (tu me corriges si c une conneries)



donc si tu t’accroches sur un TLD style x.ext.nic.fr (ou même d’un autre pays en fait !) , tu n’est pas embêté ?

votre avatar

Quand l’hébergeur du nom de domaine est français, il est sous le couvert de la loi francaise donc si tu as un site de type jesuisunterro.fr tu as de forte chance pour que celui-ci soit bloqué au niveau de l’AFNIC car il gère le .fr, par contre pour les autres (comme expliqué avant) tu ne peux rien y faire donc tu passes par le FAI.

C’est pour ça que tu vois T411 changer constamment de TLD (il y a eu .fr, .io etc..), aujourd’hui ils sont en .ch (Suisse). L’AFNIC ne peut rien faire, le blocage sera donc fait par le FAI après décision de la justice francaise.



Ce qui faut voir en terme de serveur faisant autorité c’est que l’infrastructure DNS est distribuée et hiérarchisée ce qui fait que c’est très robuste mais aussi un vrai poulpe géant quand tu veux réaliser des blacklistages.

Si demain les serveurs AFNIC tombent, tu n’auras que les noms de domaines en .fr injoignables tout le reste (com/net/cn) continuera de fonctionner.

Il faut voir la structure du DNS comme un arbre inversé où le “.” soit les serveurs root est la base, ensuite on délègue à d’autres serveurs faisant autorité les TLD, AFNIC pour le .fr, DENIC pour le .de etc.. et ainsi de suite, l’AFNIC délègue des sous domaines à Orange, SFR, Free voire même à toi si tu veux avoir ton nom de domaine ledufakademy.fr. et ainsi de suite

votre avatar

Non, ton serveur récursif chez toi interrogera bien un serveur root (qui est accessible par n’importe qui) quand son cache aura expiré pour savoir à qui demander qui gère le domaine net, puis il demandera, à un serveur qui gère net, qui gère ovh.net et enfin, il demandera de résoudre ovh.net à l’un des serveurs DNS d’ovh qui gère leur domaine.

votre avatar

Pour la box je fais simple : elle ne me sert que de modem. Pour le reste j’ai un routeur derrière sur lequel je gère mon réseau. Comme ça : tranquille.

votre avatar

On a un idée du nombre de requêtes redirigées ?

votre avatar

Et sinon, les DNS de l’asso FDN fonctionnent toujours, sans censure…https://www.fdn.fr/actions/dns/

votre avatar







John Shaft a écrit :



Ouch. Du coup, obligé de faire ça machine par machine. Et dans le * pour les smartphones, consoles et je ne sais quoi qui sont ont besoin d’un accès Internet sur lesquels ont ne peut pas toucher à la config DNS.



Il y a Internet et Internet par Orange <img data-src=" />





Bon j’ai rebooté, et toujours pas de google et autre wiki.

T’as une idée ?


votre avatar



«&nbsp;Il s’agit d’une erreur humaine lors d’une opération technique sur un serveur&nbsp;» commente l’opérateur.





il va y avoir une place qui va se libérer chez orange.

comment fait-on pour postuler à ce poste ?

votre avatar







tiret a écrit :



Et oui les DNS Google c’est le mal mais au moins ils ne mentent pas, eux. Avec nos lois actuelles impossible de faire confiance à des DNS français.





Par curiosité, c’est quoi la ou les raisons qui font que les DNS Google c’est le mal?


votre avatar

intitulé du poste : modérateur de l’internet by Orange <img data-src=" />

votre avatar







Estar a écrit :



Par curiosité, c’est quoi la ou les raisons qui font que les DNS Google c’est le mal?





Je conseille la lecture de cet article du Stephane Bortzmeyer sur le sujet <img data-src=" />

&nbsp;


votre avatar

“Heureusement”, que ce n’est pas le site d’un anonyme bloqué à tord…

Comment ça ? Ce serait déjà passé inaperçu ?

votre avatar

Cool d’avoir des news !!



Je me demandais justement pourquoi je n’arrivais pas à accéder à Google depuis le boulot.

votre avatar

Nope.



Changez de FAI <img data-src=" />

votre avatar





  • centralisation

  • conflit d’intérêts avec les activités économiques de Alphabet/Google





    d’ailleurs, est-ce que la Freebox mini 4k et la Bbox Miami utilisent les serveurs DNS du FAI ou de Google ?

votre avatar







picatrix a écrit :



il va y avoir une place qui va se libérer chez orange.

comment fait-on pour postuler à ce poste ?





Tu devrais trouver l’info sur google <img data-src=" />


votre avatar

Oui, coller un autre routeur… enfin, ça engendre pas mal de frais si c’est juste pour passer outre le manque d’option du routeur FAI <img data-src=" />

votre avatar







John Shaft a écrit :



Ouch. Du coup, obligé de faire ça machine par machine. Et dans le * pour les smartphones, consoles et je ne sais quoi qui sont ont besoin d’un accès Internet sur lesquels ont ne peut pas toucher à la config DNS.



Il y a Internet et Internet par Orange <img data-src=" />







ouais, c’est ce que j’ai fait du coup, heureusement je peux les changer sur tous les devices que j’ai


votre avatar

Excellente attaque ddos <img data-src=" />

votre avatar

Non, mais c’est revenu depuis 1h.



Merci à tous.

votre avatar







Patch a écrit :



Pquoi tu rajoutes systématiquement un “h” à “autorité”? <img data-src=" />





Pour faire parler ceux qui maîtrisent aussi peu la linguistique que lui? <img data-src=" />


votre avatar

J’espère qu’il est polyglotte…<img data-src=" />

votre avatar

certaines box s’en foutent.

le traffic dns peut être rerouté dans son intégralité vers les serveurs du FAI.

votre avatar

Pour les feignants, il y a une méthode qui fonctionne bien. Depuis sa dernière mise à jour,le navigateur Opéra sur PC propose un VPN gratuit dans son mode de navigation privé.



Du coup ça permet non seulement de zapper les filtrages DNS, mais aussi le filtrage IP et le filtrage géographique (Copyright vidéo)

votre avatar







Bobmoutarde a écrit :



authority en anglais, il est bilingue



A ce niveau c’est trilingue, vu qu’il parle en franglais <img data-src=" />


votre avatar







MarcRees a écrit :



FYI je vais revenir sur le sujet en espérant un nouveau lot d’explications (+ détaillées que “#erreurumaine”)







Ah j’avoue ca fait un bail qu’ils ont mit en place ces filtrages par DNS, ils ont des stats sur si ca marche bien ou si tout le monde a switch sur les DNS google ou autre ?


votre avatar







tazvld a écrit :



TPB fonctionne très bien chez Free. Orange fait du zèle ?







Anéfé, ça passe pas avec les DNS maison. Du moins chez moi…


votre avatar







Commentaire_supprime a écrit :



Anéfé, ça passe pas avec les DNS maison. Du moins chez moi…





Utilises-tu un serveur DNS auto-hébergé ou juste un serveur DNS externe différent de celui de ton FAI ?


votre avatar

Et sinon, c’est combien le préjudice pour Google et OVH ?

votre avatar







ignace72 a écrit :



Utilises-tu un serveur DNS auto-hébergé ou juste un serveur DNS externe différent de celui de ton FAI ?







Serveur DNS externe différent de celui de mon FAI, programmé au niveau de l’ordinateur dans les paramètres réseau. Jusqu’ici, c’était OpenDNS, je viens de passer à un serveur Opennicproject maintenant que j’ai les IP.



Mais bon, je ne connaissais pas Unbound, je vais tester ça dès que possible.


votre avatar

Tu peux aussi tester les DNS de DNS.watch, ils sont aussi “propres”, DNSSec et neutres.

&nbsp;

https://dns.watch/index



<img data-src=" />

votre avatar

17/10/2016 : Le jour où l’internet Français s’arrêta.



<img data-src=" />

votre avatar







matroska a écrit :



Tu peux aussi tester les DNS de DNS.watch, ils sont aussi “propres”, DNSSec et neutres.

 

https://dns.watch/index



<img data-src=" />







<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Reprogrammé sur ma station de travail.


votre avatar

Have you tried turning it off and on again ?

votre avatar

Ce n’est même pas une question de transfert de zones, c’est juste que le DNS est régi par un organisme mondial appelé l’ICANN qui donne des droits et “privilèges” à d’autres organisme pour gérer une partie des noms de domaines dans le monde.

Nous on segmenté ça avec les TLD, chaque TLD est géré par un organisme différent (bon des fois un organisme en gère plusieurs), qui eux même donne des droits à d’autres entités (entreprises / particuliers) pour gérer des noms de domaines.

votre avatar

… le miens est chez ovh, et c’est “anycast.me” (donc ovh) qui gère mes enregistrements DNS . (MX, NS etc)

votre avatar

Si tu diffuses de la merde avec un nom de domaine en .fr tu seras rapidement blacklisté directement par l’AFNIC sous décision de justice. Le blacklistage AFNIC est puissant car peu importe avec qui tu les interrogeras (n’importe quel recursif google, opendns, le tien) ton domaine ne sera pas accessible puisque c’est l’AFNIC la référence du .fr, en gros l’éditeur de l’annuaire téléphonique français (il raye ta ligne ou donne une adresse qui t’envoie au commissariat).

Si par contre tu as ton leduk.cn (nom de domaine en Chine), tu seras blacklisté niveau FAI donc là tu pourras quand même accéder à ton site via d’autres récursifs que les FAI français.

votre avatar

Donc si je monte mon bind (local) avec les root server comme redirecteur ca passe ? pas sure … là.

votre avatar

Le .me c’est le montenegro, OVH doit aller là bas car en terme de loi ça doit être souple je pense (tout en restant dans l’UE geographiquement parlant, les accords tout ça).

Donc le me est géré par un organisme comme l’AFNIC, qui a vendu le sous domaine anycast à OVH qu’on voit bien quand on fait un whois.

Du coup si tu diffuses du contenu illicite avec ce nom de domaine, tu seras blacklisté au niveau FAI et non TLD.

votre avatar

Oui, ça passe. Sûr et certain : comme indiqué plus haut, les serveurs root me répondent quand je les interroge depuis mon abonnement Orange.

votre avatar

C’est simplement pour avoir “me” (= moi en anglais) en premier niveau. C’est un nom de domaine pour narcissiques. Rien à voir avec les lois plus souples.

votre avatar

Ton BIND au moment où tu l’installeras aura dans sa configuration la liste des serveurs root, ce sont les premiers serveurs que ton BIND (serveur récursif) ira voir lorsque tu demanderas la résolution d’une requête quelle qu’elle soit (sauf si tu as du cache).

Processus de récursion basique, je contacte le root, qui me donne le NS du TLD,

Je contacte le TLD qui me donne le NS du sous domaine

Je contacte le sous domaine qui me donne soit l’enregistrement demandé si j’ai demandé un FQDN de cette zone là, auquel cas il me donnera le NS du sous sous domaine



Pour www.orange.fr. tu iras voir 3 serveurs faisant autorité (le root, le .fr et celui d’Orange), pour bobmoutarde.free.fr. tu iras en voir 4 parce que c’est mon domaine (root / fr / free et bobmoutarde)

votre avatar

ouaih moi aussi , si je me place sur un root server , et si je lui demande ledufakamdy.fr il réponds d’allez sur un autre NS (x.ext.nic.fr) MAIS ne me jettent pas .



j’étais persuadé qu’il me jette !

votre avatar

yep, pas de souci je le vois comme ça moi aussi.

je pensais pas qu’on pouvait mettre les root server dans ses redirecteurs, je suis surpris.

votre avatar

Bien sûr, ils sont ouvert à tout le monde. Juste que ce n’est pas lui qui fera la résolution complète de ta requête. Il te dira juste je ne connais pas www.orange.fr. mais je connais .fr. voilà son adresse.



Si tu demande www.orange.fr. aux NS de l’AFNIC ça sera pareil, je ne connais pas www.orange.fr. mais je connais orange.fr. voilà son adresse.

Tous les serveurs faisant autorité sont joignables unitairement mais ne se permettent pas de répondre sur un “secteur qui n’est pas le leur”, ils donnent en réponse ce qu’ils savent ni plus ni moins. C’est pour ça qu’on utilise un serveur récursif qui se charge de faire l’ensemble des échanges avec tous les serveurs faisant autorités que tu vas devoir aller voir pour résoudre ta requête et avoir ta petite réponse.

votre avatar

https://howdns.works/ plutôt bien fait, pour comprendre globalement le truc (c’est en anglais)

votre avatar

… ouaih, bon, faut pas déconner non plus , je connais quand même le DNS !

Et le troubleshooting d’un DNS …



J’en monte pas tout les jours, et surtout une fois en place et en prod. je ne suis pas dessus toute l’année.



oh ho , lol. <img data-src=" />

votre avatar

Ca c’est vu <img data-src=" />

votre avatar

De même <img data-src=" />

votre avatar

Question en passant:

Les trames DNS sont facilement identifiables ?



Si oui, qu’est-ce qui empêche le FAI de mentir «de temps en temps» ?

votre avatar

j’espere que le gign va pas debarquer

votre avatar

J’ai eu le cas ce matin en FTTH Orange chez 2 clients : site Google qui ne vient pas, depuis 9h30 environ, et ça duré au moins 45 minutes, car vers 10h15 toujours rien, au-delà je n’ai pas pu tester à nouveau.



Pas de message à part “Impossible d’afficher la page” et tout fonctionnait depuis mon portable SFR ou depuis un serveur dédié OVH.



Là je viens de tester à nouveau à distance, c’est ok, ouf <img data-src=" />



Edit : ajout : avec d’autres DNS, ça ne semblait pas fonctionner non plus tout à l’heure.

votre avatar

le site du ministère n’a évidemment pas tenu la charge



<img data-src=" /> haha

votre avatar

j’imagine la tête du site du ministère de l’intérieur qui s’est fait DDOS par les utilisateurs Orange <img data-src=" />

votre avatar

google, ovh et wikipedia&nbsp;<img data-src=" />

J’aimerai bien connaitre le nombre de requête, juste pour rire.

votre avatar

Le prestataire qui gère le site de censure n’est donc pas en mesure de supporter le traffic de google.fr.



C’te honte! <img data-src=" />

votre avatar







John Shaft a écrit :



Nope.



Changez de FAI <img data-src=" />





7 ans que je suis chez Orange pro et ils sont vraiment bon niveau hotline/intervention/changement de matériel.

Maintenant, si ils m’empêchent d’accéder à internet, je vais y réfléchir 2 minutes <img data-src=" />


votre avatar

Il y a un coté véridique… un absusse?

votre avatar

Vivement l’amende de plusieurs milliards de dollars payée par Orange, l’état, les contribuables et décidée par un tribunal privé grâce au CETA/TAFTA <img data-src=" />

votre avatar

Dns du fai, mais que tu peux changer dans les paramètres de la box&nbsp;<img data-src=" />

votre avatar







John Shaft a écrit :



Oui, coller un autre routeur… enfin, ça engendre pas mal de frais si c’est juste pour passer outre le manque d’option du routeur FAI <img data-src=" />





Pour chez moi, les DNS sont configurés individuellement sur chacun de mes trois ordinateurs, la box ne fait que DHCP pour le portable (configuré en Wifi), et passerelle pour les autres.



Tout en automatique au bon vouloir du FAI, ça n’a pas que des avantages…


votre avatar

12H30 : google.fr fonctionne, ouais !

fr.wiki non.

<img data-src=" />

votre avatar

Ça doit être tellement jouissif de voir sa requête web aboutir sur les sites du gouvernement.

votre avatar

Heureusement qu’un terroriste ne sait pas changer un DNS.

votre avatar

“C’est Roger chef, il a voulu brancher le détecteur de mensonge sur le modem et ça a tout fait péter le machin.”

votre avatar



Google.fr bloqué pour apologie du terrorisme



On s’attaque enfin à la responsabilité des intermédiaires, il était temps <img data-src=" />

votre avatar







risbo a écrit :



Heureusement qu’un terroriste ne sait pas changer un DNS.





Les terroristes vont éviter Orange ; une perte de clients en vue pour le FAI…

<img data-src=" />


votre avatar

Plusieurs millions de terroristes potentiels privés d’un site qui en fait l’apologie, les RGs vont avoir du boulot pour faire les fiches S <img data-src=" />

votre avatar







kade a écrit :



Les terroristes vont éviter Orange ; une perte de clients en vue pour le FAI…

<img data-src=" />







Au contraire ils vont pas nous faire une loi pour obliger “tous les fichés S/Terroristes” a s’abonner chez Orange ?





Tout serait tellement plus simple, vu que c’est a peu prêt sûr que les moyens d’interceptions sont déjà en place chez ce FAI historique


votre avatar







Zergy a écrit :



“C’est Roger chef, il a voulu brancher le détecteur de mensonge sur le modem et ça a tout fait péter le machin.”







Je dirais: “C’est Christine chef, elle a voulu brancher son firewall openOffice.” <img data-src=" />


votre avatar

La liste des serveurs est disponible ici :https://servers.opennicproject.org/

votre avatar

Le tracking.

votre avatar







Kikilancelot a écrit :



“Erreur humaine”, et la marmotte…





c’est surement un complot des gauchaux-nazi-pedo-reptiliens…


votre avatar

non, faux débat : tu prends un pare-feu matériel à 100-130 euros et tu le places derrière ta box , ton Lan après … et tu vis beaucoup mieux !


votre avatar







Torre Torinese a écrit :



Ah, voilà pourquoi ça coinçait ce matin au bureau ! (ligne pro Orange)

&nbsp;



Si tu as les IP, je vais les mettre à la place de celles d’Orange. Demande expresse de mon patron, qui vient de lire l’article…





Fais un google?&nbsp;<img data-src=" />


votre avatar

… éh éh.



tu as des DNS de différent niveau celui que tu vas monter dans ta cave n’aura pas accés au dns root de level 1 … c’est ainsi.



seul les fai y ont accès … (si je ne me plante pas)

votre avatar

Heureusement que c’était pas Facebook qui été bloqué sinon on aurait eu une vague de suicide sans précédent. lol

votre avatar







Commentaire_supprime a écrit :



Pour les DNS, c’est déjà fait chez moi. Ça me permet d’avoir TPB tranquille…





On trouve l’IP où?&nbsp;<img data-src=" />


votre avatar

Ca aurait ptet pas été un mal. Vive la sélection naturelle <img data-src=" />

votre avatar







Guyom_P a écrit :



Heureusement que c’était pas Facebook qui été bloqué sinon on aurait eu une vague de suicide sans précédent. lol





il y a déjà eu des morts quand, encore Google, un de ses stagiaires avait bloque les adresse contenant un /


votre avatar







tawane a écrit :



Et sinon, les DNS de l’asso FDN fonctionnent toujours, sans censure…https://www.fdn.fr/actions/dns/







Perso ils mont lâché plusieurs fois et leur lenteur sur certain site n’aide pas


votre avatar







the_frogkiller a écrit :



il y a déjà eu des morts quand, encore Google, un de ses stagiaires avait bloque les adresse contenant un /





Et on aurait encore accusé Orange d’être responsable de ces suicides. Bon ils ont de l’expérience sur le sujet quand même.


votre avatar

Bah, si tout ce qu’ils font comme blocage, c’est du DNS, ils vont pas aller bien&nbsp;loin.

votre avatar

ça ne passe pas outre, mais configurer mes raspberry pi + mes deux ordis portables + mon ordi fixe + 2 smartphones + une tablette, sans compter ceux que je prendrais plus tard ça deviens très long à force.

Alors que chez free je le faisait direct sur la box, un paramètre à changer et c’est fait pour tous les appareils actuels et à venir…



Et prendre un pare-feu materiel peux etre la solution, mais dépenser 120 balles pour une fonctionnalité présent chez tous les autres fai…

votre avatar

On ne peut définitivement pas faire confiance aux humains, ils font trop d’erreur









Commentaire_supprime a écrit :



Pour les DNS, c’est déjà fait chez moi. Ça me permet d’avoir TPB tranquille…





TPB fonctionne très bien chez Free. Orange fait du zèle ?







boogieplayer a écrit :



8.8.8.8 / 8.8.4.4





Ils sont tellement simple à retenir ceux là. C’est ma solution de secours quand plus rien ne fonctionne (j’arrive tout juste à me souvenir de mon numéro de portable, alors une adresse IP… et en IP V6, ça risque d’être encore plus drôle)


votre avatar







tazvld a écrit :



Ils sont tellement simple à retenir ceux là. C’est ma solution de secours quand plus rien ne fonctionne (j’arrive tout juste à me souvenir de mon numéro de portable, alors une adresse IP… et en IP V6, ça risque d’être encore plus drôle)





meuh non c’est compliqué en IPv6 : 2001:4860:4860:<img data-src=" />888 et 2001:4860:4860:<img data-src=" />844&nbsp;<img data-src=" />



edit à merde ça parse un smiley alors disons : IPv6 : 2001 : 4860 : 4860 :: 8888 et 2001 : 4860 : 4860 :: 8844


votre avatar

Si ça intéresse des gens, voici un routeur sous OpenWRT à 23€:

&nbsp;amazon.fr AmazonIl fait du LAN (100Mb), du Wifi N, et OpenWRT est préinstallé (une version customisée par le fabriquant). Je m’en suis servi pour un pote; ça marche nickel.

votre avatar

Merci <img data-src=" />

votre avatar

“Les root DNS ne sont pas des resolveurs, il ne font pas non plus authorité.” Et bien si ils font autorité sur le “.” ! Ta phrase est fausse c’est tout simple.

&nbsp;

Par contre je suis d’accord sur le fait que le root ne fait pas autorité sur machin.fr. qui lui aura pour serveur faisant autorité un serveur du genre ns1.machin.fr. (mais dans ce nom de domaine tu as minimum 3 serveurs faisant autorité à contacter si rien en cache bien évidemment pour faire ta résolution).

votre avatar

Mon FAI est Orange et je n’ai eu aucun problème.

Ah oui, je n’utilise pas les DNS menteur d’Orange.

J’utilise le serveur DNS qui est installé sur mon PC.

J’ai donc accès à tous les sites même ceux bloqué par l’état.

votre avatar

Tu sais il n’y a pas que ceux d’Orange qui mentent, Free / SFR / Bouygues aussi vu qu’ils sont sous le coup de la loi..

votre avatar

Ouais, si on enlève le contexte et que l’on pioche la phrase comme ca c’est sûr.

Par contre, je pense que tu te plante en disant qu’il y a minimum 3 serveurs faisant authorité. Je crois que c’est deux.



Je ne me permettrais pas pour autant que rajouter “gros débile” ni “beugle” à ton propos :)

votre avatar

Bonjour c’est quoi le Meilleur DNS que vous avez configurer ?

votre avatar







Bobmoutarde a écrit :



Tu sais il n’y a pas que ceux d’Orange qui mentent, Free / SFR / Bouygues aussi vu qu’ils sont sous le coup de la loi..





Tu sais : Dire qu’on n’utilise pas les DNS menteur de Orange n’implique pas que seul les DNS d’Orange mentent.


votre avatar

C’était pas pour toi le gros débile, mais ledukmachinchouette <img data-src=" />



Il y en a bien trois (dans l’hypothèse où ton machin correspond à un orange/free/lefigaro), le “.”, le “.fr” et le “.machin” ou deux si machin.fr. est un enregistrement du domaine “.fr”

votre avatar

Tout à fait d’accord, juste qu’ici il faut tout préciser sinon les gens vont encore crier au complot, à mort Orange et fanboyisme de Free. Ce n’est pas contre toi, mais pour les autres <img data-src=" />

votre avatar







code a écrit :



Bonjour c’est quoi le Meilleur DNS que vous avez configurer ?





Celui qui est installé sur mon PC.

J’utilise comme base&nbsp;www.internic.net et le serveur DNS de FDN en serveur de secours.


votre avatar

FYI je vais revenir sur le sujet en espérant un nouveau lot d’explications (+ détaillées que “#erreurumaine”)

&nbsp;

votre avatar

Je ne m’en suis même pas rendu compte….. fier que mon boycott&nbsp; soit efficace. Je n’utilise aucun de leurs produits.

votre avatar







PtiDidi a écrit :



Ouais, si on enlève le contexte et que l’on pioche la phrase comme ca c’est sûr.

Par contre, je pense que tu te plante en disant qu’il y a minimum 3 serveurs faisant authorité. Je crois que c’est deux.



Je ne me permettrais pas pour autant que rajouter “gros débile” ni “beugle” à ton propos :)



Pquoi tu rajoutes systématiquement un “h” à “autorité”? <img data-src=" />


votre avatar

127.0.0.1

votre avatar

authority en anglais, il est bilingue

votre avatar

Une langue par neurone ? <img data-src=" />

votre avatar

as tu redémarré ton navigateur ?

votre avatar

The IT Crowd ?&nbsp;<img data-src=" />

votre avatar

Ils sont hébergés en Allemagne chez ACCELERATED-IT, DE.



https://whois.domaintools.com/84.200.69.80&nbsp;<img data-src=" />

votre avatar

“Villiez dibroucher li cable Airji45 ensouite vi allez ribouter li livebouxe.”



<img data-src=" />

votre avatar

<img data-src=" />

votre avatar

C’est noté, on vous tondra dès que Marine sera élue présidente.

votre avatar

Cela masque plus ou moins le vrai débat : la censure existe bel et bien, et de nouveaux sites ont été visiblement ajoutés !&nbsp;



&nbsp;un petit coup de respect-my-net ?

votre avatar







Lodd a écrit :



Cela masque plus ou moins le vrai débat : la censure existe bel et bien, et de nouveaux sites ont été visiblement ajoutés !&nbsp;



&nbsp;un petit coup de respect-my-net ?





Ben il n’y a pas de débat. La censure existe. C’est un fait. Je pense que si il y a débat, c’est de savoir si une censure d’état est légitime.


votre avatar

Eh les gens, imaginez un peu la même chose avec FesseBouc&nbsp;&nbsp; …&nbsp;&nbsp; le délire des lycéennes en furie contre l’agrume !



Je suis prêt à tenter l’expérience, juste pour voir

<img data-src=" />

votre avatar

…. donc on ne peut pas s’en servir ?

votre avatar

a bon ?



Un serveur DNS s’adresse à un serveur racine dans deux cas :




 - au démarrage, pour obtenir la liste à jour des serveurs racine.(fr., com. etc)   

- quand il doit déterminer la liste des serveurs de noms d'un domaine de premier niveau.





Donc je ne vois pas pourquoi on peu pas faire du récursif … dessus, c’est bizarre : est-ce bloqué volontairement ?



Moi je pensais que suite au attaque su les root server il y a pas si longtemps de cela qu’ils avaient bloqué les accès … mais visiblement non.

votre avatar

Les serveurs root sont joignables par n’importe quel serveur récursif, le tien, celui d’orange, d’une petite PME du moment qu’il a les adresses de ces serveurs (que tu trouves aisément sur internet ou directement dans le package de l’applicatif DNS).



Quand tu fais ta requête www.orange.fr. ton serveur récursif si il n’a rien en cache ira demander aux serveurs roots qui fait autorité sur le fr., ils te donneront l’adresse des serveurs de l’AFNIC à qui tu demanderas qui fait autorité sur le orange.fr. où on te donnera l’adresse des NS (name server) d’Orange qui te desserviront les différents records (A, AAAA etc…) pour www.orange.fr.



Donc les root sont bien des serveurs faisant autorité joignables par n’importe qui, ils ne connaissent bien entendu que les NS des TLD (premier élément le plus à gauche du FQDN sauf zone “interne/privée”)



Voilou

votre avatar

ok, donc pas de cache chez eux(root server) sur les TLD .



Voilà pourquoi …



Mais donc pour avoir un DNS safe ET non filtré : obligé de passé par les DNS des FAI français ?

Donc …. coincé ?



Car je vois bien qu’on peut donc , en effet les (root servers) interroger MAIS qu’ils ne repondont jamais pour un www.toto.fr ….. on passera forcément par le NS d’un FAI ?

votre avatar

Non du tout, si je te donne l’IP de mon serveur récursif tu peux venir l’utiliser sans aucun souci en te dédouanant des DNS de ton FAI. Sauf si celui-ci via sa box décide de rediriger l’ensemble de ton trafic DNS (peu importe sa destination) sur ses serveurs auquel cas tu devras utilisé un VPN par exemple.



Un serveur faisant autorité n’a pas de cache puisque c’est lui qui a les informations concernant un ou plusieurs domaines (typiquement les root ont le fr / com / net etc…).

Le cache est toujours au niveau des récursifs (OS, navigateur, box) car 80 à 90% des requêtes DNS sont quasiment toujours les mêmes, donc pour éviter au serveur récursif de faire une résolution complète on utilise le système de cache pour gagner du temps (pas besoin d’aller voir X serveurs faisant autorité). Il suffit d’une fois pour que la réponse soit mise en cache avec un TTL (pour éviter justement que lorsqu’on change par exemple une IP pour un www.orange.fr on se retrouve à pointer vers un serveur qui n’existe plus). A son échéance (le TTL) le premier client qui viendra demander au serveur récursif la résolution du FQDN concerné se verra obligé de faire le processus de “récursion” pour récupérer la réponse qu’il mettra en cache pendant une durée determinée par le TTL (choisi par l’admin de la zone).

Ce sont les grandes lignes en gros..



Le souci d’Orange hier, outre le fait qu’ils ont blacklisté google/ovh/wiki, est que tu n’as pas la main sur tous les caches de la Terre. Donc de fait, même si tu rollback (ça prend au grand max 20/30min) ton blacklistage, que tu flush/vide les caches de serveurs récursif du FAI il te restera toujours les caches de l’OS / navigateur / applicatif / box du client dans lequel tu auras la mauvaise réponse (jusqu’à échéance du TTL qui était de 17200sec hier quasi 5h)

&nbsp;

Je ne sais pas si j’ai répondu à ta question <img data-src=" />

&nbsp;

votre avatar







Soltek a écrit :



Fallait vider le cache, ce matin sur le fofo on s’est dépanné en mettant les DNS Google.





Pour ma part ça fait des années que j’utilise plus les DNS de mes différents FAI mais ceux de google sur mes serveur et en DNS principal aussi sur ma #LB XD


votre avatar

Ah je savais bien que :



“Les serveurs racine sont non-récursifs, c’est-à-dire qu’ils ne fournissent que des réponses qui font autorité, ne transmettent aucune requête à un autre serveur et ne font pas usage d’un cache. Ils ne sont donc pas utilisables directement par un resolver d’un client final.”



Donc c’est niet pour utiliser les Root-dns Directement.



éh éh !

votre avatar

Tu passeras par le NS d’un FAI si tu requêtes un domaine sur lequel il fait autorité, si tu vas sur www.orange.fr depuis n’importe quel équipement du monde tu passeras forcément par le NS Orange si la réponse n’est pas en cache.

Par contre si tu vas sur www.lequipe.fr tu ne passeras jamais par ton FAI si tu utilises un autre serveur récursif que les siens.



En fait il faut bien voir deux choses, dans le cas du blocage par DNS on utilise le serveur récursif que tout le monde utilise pour que quand on voit passer une requête DNS sur un certain nom de domaine “XXX.terrorisme.fr” on redirige cette requête vers un faux NS qui répondra une adresse IP qui te fait pointer vers le site du ministère.

Si tu as ton propre serveur récursif ou que tu utilises certains qui sont ouvert sur internet tu ne seras potentiellement (dépend de la loi, du pays, et du statut de l’entité qui possède ces serveurs) pas affecté par ce blocage.

Après utiliser google DNS ou autre c’est aussi faire une croix sur sa vie privée par exemple, il faut bien se rendre compte que le trafic DNS permet de connaitre la totalité de l’usage d’internet du client donc ça s’exploite et se monnaye très bien en terme de données.

votre avatar

Tu n’as pas besoin de “redirecteurs”, si ton bind est configuré en mode récursif et qu’il a la liste des serveurs root (penser à la mettre à jour) ça fera le taf tout seul comme celui de ton FAI.

votre avatar

Tu VPN , avec quoi ? … mon petit doigt me dit que les chiffrages actuels sont quasi tous cassables par certains états.

La techno quantique est bien en production chez certains (google, ms, militaire, ibm , gemalto …) alors … bon :



http://www.silicon.fr/ordinateur-quantique-chiffrement-obsolete-146667.html

http://www.silicon.fr/gemalto-introduit-physique-quantique-appliances-dencodage-…

http://www.silicon.fr/ordinateur-quantique-google-2017-156567.html





Alors les SSL etc … mdr , par ex. sur mon parefeu je déchiffre à la volée les flux SSL grâce aux certificats intercepté à la volé … un matos obsolète en plus , alors avec les moyens d’un fai : simple.


votre avatar

ok merci , je vais vérifier ça.

votre avatar

Perso , j’observe beaucoup de trafic DNS qui part de ma DMZ vers le web : hazard , c’est le serveur windows 2008 R2 de mon fils …



Donc je soupçonne un tunnel DNS actif … mais bon. En gros le ghost in the shell …



C’est ainsi.

votre avatar

niveau VPN je n’ai pas encore trouvé mon bonheur, j’en essaye plusieurs mais souvent payant pour avoir une BP non bridé et un trafic illimité. Ca commence à vraiment exploser ce marché, ça ne tardera pas à voir débarquer un truc qui fonctionne bien pour peanuts.



Après faut regarder exactement les FQDN de ce trafic DNS, ça sera du teredo.microsoft.ipv6 quelque chose comme ça, mais si ton fils à installer du caca tu auras les malwares/spyware qui font transiter leurs données via le DNS grâce aux enregistrements TXT par exemple (notamment le cas des antivirus et d’apple).

Je te conseille une petite capture puis d’isoler les FQDN pour voir un peu les FQDN requêtés. Tu trouveras peut être quelques surprises pour épurer la bête.

votre avatar

VPN payant, non, à fuir : autant surfer en HTTP devant la NSA etc.



il y a une recette intraçable, cà me coute 3\( ... et si j veux amplifier le brouillage x X 3\) … et là good luck.



J’ai remarqué quand se faisant tout , trés , trés …. trés petit on se noie dans la traffic au point de devenir invisible … pour mieux ecouter !<img data-src=" />

votre avatar

L’idée d’empêcher l’accès à une liste de “sites bloqués pour apologie du terrorisme”&nbsp;en reroutant leur accès sur les DNS des opérateurs me paraît fort fragile.

&nbsp;

L’adresse du DNS à utiliser pour toute requête web est tout simplement inscrite dans le CLIENT, c’est à dire dans le poste de chaque utilisateur




  • sur MAC c’est dans Préférence Réseau/Onglet Avancé/Sous-onglet DNS,

    -&nbsp;sur Windows dans le panneau de configuration / Internet et Réseau / Réseau et Partage / Changer les propriétés de l’adaptateur / Réseau Local (ou sans fil) / Propriétés / TCP IPV4 / propriétés / onglet avancé / DNS.



    On peut écrire là-dedans l’adresse qu’on veut. Par défaut, lorsqu’on utilise un wizard de configuration automatique fourni par un FAI, on y trouve donc les adresses du (ou des deux) DNS de son opérateur. Mais si on veut y mettre l’adresse DNS d’un opérateur japonais ou chilien, cela prend trois minutes. Et ces opérateurs-là ne seront pas soumis à la loi française.

    &nbsp;

    A titre d’exercice, on facilement trouver les adresses DNS de Google : 8.8.8.8 et 8.8.4.4. Il est très très peu probable que Google soit soumis à la loi française.

    developers.google.com Google&nbsp;

    Alors est-ce que notre opérateur va intercepter TOUTES les requêtes DNS, y compris celles qui ne lui sont pas adressées,&nbsp;et les rerouter ?

    Et comment ça se passe si le client utilise un VPN vers un serveur étranger (c’est payant, c’est légal et toutes les grandes entreprises en utilisent un pour protéger les communications de leur personnel en déplacement). Alors l’opérateur français ne verra même pas circuler la requête DNS (sauf la première, celle qui permet d’établir le VPN).

    Bon, c’est nos impôts qui partent en fumée quand même.&nbsp;

Google.fr bloqué pour apologie du terrorisme suite à une « erreur humaine » d’Orange

  • Et le site du ministère n'a évidemment pas tenu la charge

  • Premières pistes d'explications 

  • Une erreur humaine, selon Orange

Fermer