Oui très facile, protocole dédié qui utilise le port 53 (soit en dest ou source suivant le sens dans lequel tu te places)  souvent en UDP. Après tu as la possibilité de chiffrer le trafic DNS, très peu répandu aujourd’hui, et tu as DNSSEC qui permet de prouver l’authenticité, l’intégrité et la preuve de non existence d’un enregistrement à l’aide d’un système de signature (pour faire rapide).



Rien n’empêche le FAI propriétaire du serveur récursif de spoofer une réponse effectivement, c’est pour ça qu’il vaut mieux avoir son propre serveur (après tu as l’attaque de cache poisoning) que de faire confiance à un tiers type google, des open resolver que tu trouves en pagaille sur le net.

Le FAI étant sous le coup de la loi française, mentir sur autre chose que ce qui est décidé par l’Etat (blacklistage réglementaire) est très dangereux pour eux.

Les caches contiennent environ 90% des réponses, donc clairement pas pénalisé. Après clairement que si utilises un récursif où faut que tu te manges un lien transatlantique forcément tu vas le sentir (200ms de moyenne).

Suivant l’opérateur certains flux sont séparés dans des VLAN et donc “priorisés” avec des seuils, ce qui passe au dessus est droppé ni plus ni moins.

Le DNS étant la base de l’internet, pas de service DNS peu de monde navigue, je pense pas qu’ils s’amusent à leur mettre une priorité de merde pour faire passer du netflix.

Oui c’est possible théoriquement pour un FAI mais :

• Cher car il faut des routeurs capables de gérer ce genre de règles en nombre, déployer ces règles sur chaque routeur de ton réseau de collecte à chaque NI, NO, NE, point de peering tout ça.
  


• Empiler des règles réseaux de merde comme ça c’est une dégradation des perfs des routeurs (traitement paquets etc..)
  


• Empiler des règles c’est aussi plus de chance de faire une erreur lors d’une reconfiguration de l’équipement ou un debugging
  


• Tous les équipements réseaux ne sont pas gérer par la même équipe, à contrario des DNS (à fortiori) donc t’évites des échanges longs, douloureux et quiproquo
  
  
  
  Si aujourd’hui les FAI ont choisi le DNS c’est parce que ça coûte rien, le process est très simple et c’est centralisé (pas comme les X routeurs que tu as au quatre coins de ton réseau).

Non si tu n’utilises pas les serveurs récursifs d’Orange ils n’ont pas de moyen autre de te bloquer. L’écran blanc était certainement dû au fait que les serveurs lamainrouge était mort sous le flood des clients redirigés chez eux

Ca coute beaucoup trop cher de faire du DPI vu le nombre de requête à traiter, 35 millions de clients pour Orange ça en fait un paquet d’IPS pour filtrer tout ça… Au pire tu VPN et ils ne peuvent rien y faire puisque ce n’est plus taggé comme DNS.



 Le but de l’opérateur est d’appliquer la loi, bloquer le site par un moyen. Ils le font par DNS car pas cher, ni plus ni moins. Ils sont pas là pour faire chier dans les pires stratégies l’abonné.

Le problème des autres serveurs récursifs (openDNS, google etc…) c’est que vos données partent vous ne savez où, sont certainement monnayées. Je vous conseille sincèrement d’utiliser vos propres DNS (un petit BIND/unbound/powerDNS) ça tourne même sur un raspi ou c’est embarqué directement dans certains routeurs.

Dans les box (notamment sur celle d’Orange) c’est un simple dnsmasq qui ne fait pas de résolution (juste du caching/redirection vers les vrais récursifs Orange).

Comme dans ta box il y met les VIP DNS Orange, par défaut sur tes équipements tu dois être en prendre les paramètres par défaut de la passerelle.

Si tu les changes tu n’auras aucun souci (type 8.8.8.8) au niveau de l’opérateur, c’est ni plus ni moins qu’un simple routage qui envoie ton paquet DNS vers les serveurs que tu as choisis (il n’y a aucun contrôle fait par l’opérateur ou juste des stats).

 

Pour le eavesdropping oui et non, aujourd’hui c’est certainement le cas il doit y avoir des stats sur le nombre de clients qui utilisent des DNS autre que celui du FAI, la possibilité peut être aussi de voir le contenu des paquets (projet big data) mais ça coûte très cher ! Pour le DNS, tu as des extensions pour chiffrer ton trafic, une fois chiffré ton opérateur ne pourra rien faire (enfin pas dans l’immédiat)

Parce que les root sont des serveurs faisant autorité gros débile, ils n’ont aucunes fonctionnalités pour faire de la “récursion”… Les mecs qui parlent sans savoir sont vraiment marrant

Bien sûr que si les root font autorité sur le “.”, tu y récupèreras les NS des TLD soit fr. / com. / net. et ainsi de suite…

C’est un peu triste de voir autant de commentaires techniques alors que les gens n’y connaissent rien, et ça se permet de beugler à tout va alors que ça comprend même pas le fonctionnement basique du protocole

Tu n’as pas compris, tu confonds serveur faisant autorité et serveur récursif…



Faut voir le serveur qui fait autorité comme l’annuaire téléphonique et le serveur récursif comme toi/quelqu’un de te famille.

Quand tu veux le numéro de monsieur Dupont pierre, tu ouvres ton botin et tu cherches monsieur Dupont Pierre dans la ville correspondante et tu y trouves son numéro de téléphone.



Si c’est toi qui cherche le numéro de Pierre tu ne risques aucun blocage puisque c’est écrit noir sur blanc, par contre si tu demandes à quelqu’un de chercher pour toi la personne peut très bien te donner un autre numéro. Et bien pour le DNS c’est pareil. Les FAI utilisent les serveurs récursif, celui en charge de la résoudre la question (requête DNS) pour mentir. En aucun cas les serveurs faisant autorité n’ont leur mot à dire dans cette résolution donc si tu utilises ton propre serveur récursif tu ne risques aucun blocage

Ce n’est même pas une question de transfert de zones, c’est juste que le DNS est régi par un organisme mondial appelé l’ICANN qui donne des droits et “privilèges” à d’autres organisme pour gérer une partie des noms de domaines dans le monde.

Nous on segmenté ça avec les TLD, chaque TLD est géré par un organisme différent (bon des fois un organisme en gère plusieurs), qui eux même donne des droits à d’autres entités (entreprises / particuliers) pour gérer des noms de domaines.

Si tu diffuses de la merde avec un nom de domaine en .fr tu seras rapidement blacklisté directement par l’AFNIC sous décision de justice. Le blacklistage AFNIC est puissant car peu importe avec qui tu les interrogeras (n’importe quel recursif google, opendns, le tien) ton domaine ne sera pas accessible puisque c’est l’AFNIC la référence du .fr, en gros l’éditeur de l’annuaire téléphonique français (il raye ta ligne ou donne une adresse qui t’envoie au commissariat).

Si par contre tu as ton leduk.cn (nom de domaine en Chine), tu seras blacklisté niveau FAI donc là tu pourras quand même accéder à ton site via d’autres récursifs que les FAI français.

Le .me c’est le montenegro, OVH doit aller là bas car en terme de loi ça doit être souple je pense (tout en restant dans l’UE geographiquement parlant, les accords tout ça).

Donc le me est géré par un organisme comme l’AFNIC, qui a vendu le sous domaine anycast à OVH qu’on voit bien quand on fait un whois.

Du coup si tu diffuses du contenu illicite avec ce nom de domaine, tu seras blacklisté au niveau FAI et non TLD.

Bien sûr, ils sont ouvert à tout le monde. Juste que ce n’est pas lui qui fera la résolution complète de ta requête. Il te dira juste je ne connais pas www.orange.fr. mais je connais .fr. voilà son adresse.



Si tu demande www.orange.fr. aux NS de l’AFNIC ça sera pareil, je ne connais pas www.orange.fr. mais je connais orange.fr. voilà son adresse.

Tous les serveurs faisant autorité sont joignables unitairement mais ne se permettent pas de répondre sur un “secteur qui n’est pas le leur”, ils donnent en réponse ce qu’ils savent ni plus ni moins. C’est pour ça qu’on utilise un serveur récursif qui se charge de faire l’ensemble des échanges avec tous les serveurs faisant autorités que tu vas devoir aller voir pour résoudre ta requête et avoir ta petite réponse.