Le 21/10/2016 à 16h 52

Légèrement mérité pour OVH vu le nombre de botnet qu’ils hébergent ou autres joyeusetés que leurs utilisateurs font avec leurs serveurs dédiés.

Le 21/10/2016 à 15h 18

Oui ça m’étonne pas, c’est super light pour les box en terme de conso ressource.

Le 21/10/2016 à 13h 44

Pour ça que j’ai mis entre guillemet le “retourner sur Internet”, en gros tu sors de ton réseau local. Sinon j’étais parti dans un pavé qui aurait fait vomir les plus courageux (je pense).
Vaut mieux regarder la vidéo (1h16) après au dodo !

Le 21/10/2016 à 13h 28

Oui c’est ça, tu as des caches partout (serveur récursif de ton FAI, ta box, ton OS, ton application type firefox). Et c’est ce qui pose problème comme lors du surblocage d’Orange. Une fois l’information dans le cache, seul la personne qui gère le cache de l’équipement peut le vider. En attendant tu récupères un mauvais enregistrement DNS (une IP, un champ TXT etc..)

Chaque enregistrement a une durée de vie appelée TTL (en secondes), une fois le compteur arrivé à 0 tu devras “retourner sur Internet” pour trouver la réponse et ainsi la remettre en cache (bis repetita)

Le 21/10/2016 à 12h 57

Je ne critiquais pas non plus la tienne, mais j’aurai pu ne pas comprendre le fond de sa remarque. On a pas tous la même perception des mots et des phrases. Je m’étais peut être loupé !

Si t’as une LB3 et/ou 4 tu peux déjà oublier, après si tu veux changer les DNS tu le fais directement sur ta machine. (Penser à le faire pour tout nouvel équipement). Free tu peux de mémoire, neufbox SFR aussi.
Sinon tu peux changer ta box par un routeur (mais il faut souvent faire des compromis comme la TV / téléphone (il y a des tutos sur le net, pas forcément évident parfois)

Le 21/10/2016 à 12h 23

Sa question n’était pas posé comme ça (je l’ai interprêté comme), il parle certainement du fait d’installer directement un applicatif DNS comme ceux annoncé style BIND, Unbound directement dans la box au lieu d’avoir un raspi dans ton réseau local. Je l’ai plus vu comme ça (ou alors j’ai pas bien compris)

Mais dans certaines box oui tu peux changer les deux adresses DNS (primaire/secondaire) qui seront à fortiori donner à tes équipements locaux si leurs config réseaux est par défaut (DHCP activé)

Le 21/10/2016 à 10h 23

L’annuaire sera toujours tiers (serveurs faisant autorité sur chaque domaine), par contre avoir son serveur récursif chez soi permet de contrôler qu’à ce niveau (résolution, aller/retour vers les serveurs faisant autorité pour récupérer des réponses à la requête que tu as faites)  personne ne te ment (comme les FAI), t’espionnes (google) ou te spoof (dns resolveur ouvert sur internet X ou Y).
Unbound, Bind, PowerDNS recursor peuvent être configurés ainsi avec un cache pour que ça soit plus rapide lors de tes prochaines requêtes.

Le 21/10/2016 à 09h 05

Bah si suivant la nature de l’applicatif et de sa configuration il y a des fonctionnalités que tu pourras utiliser ou non. Typiquement si tu as juste ta box (LB dans mon cas), si je veux me faire une zone interne (genre pc1.bobmoutarde / pc2.bobmoutarde / www.bobmoutarde etc..) je ne peux le faire avec la box.
 
Après oui tes adresses de résolveurs sont provisionnées dans la box, étant passerelle c’est ces dernières que récupère ton pc ou ton équipement local.

 

Le 21/10/2016 à 08h 54

Celui dans ta box c’est juste un cache+ relais, il n’est en rien un serveur faisant autorité (en tout cas sur la LB) donc déclaration de zones/reverses etc c’est pas possible. D’ailleurs sur la LB c’est dnsmasq

Le 21/10/2016 à 07h 38

Ha possible, je regarderai ça en détail. Après je me souviens plus exactement de chaque date de mise en blocage + la durée. J’ai donné des sites de mémoire (après suivant son FAI j’ai pas tout faux " />)

Le 21/10/2016 à 07h 27

Ca te permet d’avoir le contrôle sur le serveur, donc savoir ce qu’il s’y passe. Mettre les IP d’un autre DNS c’est avoir confiance dans l’entité qui l’administre (et la conduite peut changer avec le temps)

Le 20/10/2016 à 20h 44

t411, piratebay (après site terro et pédo je peux pas te dire, pas le genre que je fréquente)

Le 20/10/2016 à 20h 38

Bah le souci c’est que si tu fais des zones ça veut dire que ton BIND est aussi un serveur faisant autorité, il est fortement déconseillé que le serveur soit et récursif et faisant autorité. Best Practice (après pour une solution interne ça peut passer je pense)

Le 20/10/2016 à 19h 00

Euh si tu fais juste un résolveur, tu peux oublier les histoires de zones, forwarders déjà

Le 20/10/2016 à 16h 03

Pour ça que je cherche un routeur qui remplacerait ma box (en plus des bugs/desynchro tout ça). Et là t’es tranquille tu gères tout sur ton routeur et non unitairement sur chaque équipement.

Le 20/10/2016 à 15h 47

Sur la LB3/4 c’est bloqué, peut être sur les anciennes. En tout cas ce n’est plus possible aujourd’hui. Après plus ton cache est proche de ton équipement plus le temps de réponse sera faible.
Après passer de 3/5ms à 0/1 est-ce que c’est perceptible ?

 

Le 20/10/2016 à 15h 09

Téléphone / TV je m’en sers pas donc ça c’est pas bien grave. Le souci c’est que je veux absolument remplacer ma LB qui plante constamment. Je ne sais pas si en mode bridge le résultat sera une déconnexion quand même, pour ça qu’un routeur m’intéresse un peu plus.
Je vais creuser ça quand même, niveau coût ça peut être intéressant. Merci !

Le 20/10/2016 à 14h 27

Non les serveurs root sont des serveurs faisant autorité et non des serveurs chargés de la résolution. Ils ne donneront en réponse que ce qu’ils connaissent soit une info sur les serveurs qui sont en charge (faisant autorité) de gérer un TLD (.net/.com/.fr etc…)

Le 20/10/2016 à 14h 24

Ouai mais t’as raspi tu peux pas la mettre à la place de ta LB, freebox (et autres). C’est pas un vrai routeur ?! Sinon faut acheter un adaptateur fibre / une antenne wifi etc..

Le 20/10/2016 à 14h 20

http://www.bortzmeyer.org/turris.html

D’après son blog, le routeur est bien chez lui. Si tu regardes le site du routeur tu vois aussi dans les commentaires certaines personnes qui l’ont.

J’étudie toutes les pistes effectivement, mais le fait que le routeur soit libre me tente bien (quitte à payer un peu plus cher)

Le 20/10/2016 à 13h 55

Pour faire quoi ? La box appartient à l’opérateur donc ça ne t’épargneras pas du blocage.

Le 20/10/2016 à 13h 48

Hum si certains l’ont déjà notamment monsieur Bortzmeyer, donc je pense que c’est ouvert mais que c’est livré petit à petit le temps de lancer la production.
Après oui le prix est important, mais vu les fonctionnalités ça peut se rentabiliser. Pour ça que j’aimerai des retours (avec un peu de chance)

Le 20/10/2016 à 13h 37

Très bon article, ça c’est cool d’expliquer les tenants et aboutissants d’un problème comme celui là.

Au passage si quelqu’un a un omnia turris, je suis preneur de tout retour. J’ai déjà lu l’article de monsieur Bortzmeyer mais je suis ouvert pour d’autres avis !

Le 20/10/2016 à 13h 09

Trop cher, trop lourd et pas centralisé.

Le 20/10/2016 à 13h 05

C’est bien ce qu’il dit, cette liste de serveurs racines (13 en vue logique +500 physique/virtuel à travers le monde) est maintenue par un tiers (en l’occurence 12 tiers indépendants) ce qui minimise le fait qu’on puisse “tricher”.

Le 20/10/2016 à 13h 50

Tu en as quand même parlé, bref j’espère juste que c’est pas du pipeau et pour lui et pour nous lecteur.

Le 20/10/2016 à 13h 41

Tu as bien parlé du ministère non ? Le Ministère fait bien parti de l’Etat non ? Ils ont bien réussi à se tromper dans la date de l’incident en disant 18 octobre au lieu de 17 (toujours pas corrigé dans le communiqué d’ailleurs) donc bon ils peuvent bien donner une réponse erronée ou pipé à un journaliste.

Le 20/10/2016 à 13h 32

Il est vrai que l’Etat n’a jamais menti. " />

Le 20/10/2016 à 13h 29

Pas de mal, j’essaierai d’écrire un commentaire moins direct la prochaine fois. " />

Le 20/10/2016 à 13h 19

Excellent si tu recoupes les infos, beaucoup devrait le faire.
Je n’ai jamais dit que NI mentait, mais que c’était une méthode beaucoup trop utilisé aujourd’hui (peut être mal dit) et que la mise à jour de la news pour enlever quelques éléments pouvait abonder dans ce sens.
J’espère totalement que NI ne fait pas du sensationnel… Ca serait dommage de perdre cette ligne éditorial qui me fait venir ici.

Le 20/10/2016 à 13h 14

Non je dis juste qu’à un moment faut arrêter de croire tout ce qu’on lit, journaliste indépendant ou non. Le Ministère étant mouillé dans l’histoire, tu ne croiras ni Orange, ni le Ministère alors de fait la source de Marc tombe à l’eau puisqu’elle est au Ministère donc partie prenante " />

Le 20/10/2016 à 13h 08

C’est surtout pour ça que quand tu as un esprit critique, tu essayes de recouper plusieurs articles de divers endroits pour vérifier les infos. Or aujourd’hui seul NI affirme qu’une centaine de noms de domaines était concernée donc soit c’est vrai soit c’est un mensonge (lui ne peux pas le savoir, il est relai). Sa source n’a aussi peut être pas compris la discussion dans laquelle il était engagé.

En tout cas beaucoup de personnes s’attachent à croire cette info sans citation de source (pour diverses raisons), alors que quand Orange affirme que l’erreur provient d’une erreur humaine (donc source officielle puisque Orange) personne n’y croit… la magie d’Internet " />

Le 20/10/2016 à 12h 30

J’espère que tu lui payes le macdo à la fin " />

Le 20/10/2016 à 12h 05

Pourquoi avoir modifié la news alors ? Celle-ci à sa première publication disait que la source venait du ministère et maintenant plus rien ? Problème ?

Le 20/10/2016 à 10h 49

Belle naïveté.

Le 20/10/2016 à 10h 31

Ca vient de mettre à jour la news sur le site, ça assume pas pour la source du ministère ? L’auteur de la news a changé en plus… " />

Le 20/10/2016 à 10h 25

Où alors ça prêche le faux pour avoir la vraie version parce que ça raconte des âneries.. C’est facile aussi comme méthode !
 

Le 19/10/2016 à 17h 58

J’ai partagé hein… Pas que je ne voulais pas partager bien au contraire !
 Juste que je ne comprends pas les gens qui ne lisent qu’un seul article. Vu la merde qu’on trouve sur internet, personnellement je cherche plusieurs articles qui traitent du même sujet pour avoir des sons de cloches similaires ou différents et tirer de tout ça au clair.
Faut pas le prendre mal (le “coup de gueule est général”), c’est pas méchant mais quand on lit certains commentaires ici ou ailleurs c’est effarant de voir autant de gens dire des âneries, non sens et tout ce qu’on veut " />
 

Bobmoutarde a écrit :

selon un mail interne d’Orange publié par Mac Génération,

une erreur aurait été commise lors de l’ajout du domaine      

equals.cineday.orange.fr sur la zone Orange.fr du serveur DNS de
l’opérateur. « Pour une raison encore indéterminée, un ancien fichier de

test a été intégré à tort lors de la phase de blacklistage sur les      

serveurs DNS, ce qui a provoqué un blocage de certaines URL. Les clients

qui ont tentés d’accéder à l’un de ces sites entre 09h42 et 10h30, ont      

récupéré un mauvais fichier DNS. L’impact technique est résolu à 10h30
suite à la réalisation du retour arrière de l’opération par PEA : cette
action consistait à la remise en production d’un fichier DNS datant du
¹²⁄₁₀ sur l’ensemble des serveurs de la plateforme », dit le message
interne. (source Numerama)

Si vous lisiez et cherchiez un peu différentes versions/sources pour vous faire une idée du problème ça serait une sacrée avancée…

Le 19/10/2016 à 16h 47

selon un mail interne d’Orange publié par Mac Génération,
une erreur aurait été commise lors de l’ajout du domaine
equals.cineday.orange.fr sur la zone Orange.fr du serveur DNS de
l’opérateur. « Pour une raison encore indéterminée, un ancien fichier de
test a été intégré à tort lors de la phase de blacklistage sur les
serveurs DNS, ce qui a provoqué un blocage de certaines URL. Les clients
qui ont tentés d’accéder à l’un de ces sites entre 09h42 et 10h30, ont
récupéré un mauvais fichier DNS. L’impact technique est résolu à 10h30
suite à la réalisation du retour arrière de l’opération par PEA : cette
action consistait à la remise en production d’un fichier DNS datant du
¹²⁄₁₀ sur l’ensemble des serveurs de la plateforme », dit le message
interne. (source Numerama)

Si vous lisiez et cherchiez un peu différentes versions/sources pour vous faire une idée du problème ça serait une sacrée avancée…

Le 19/10/2016 à 14h 51

Ils sont déjà débloqués… Suffit d’aller voir bonjourmadame. Le principe du rollback c’est de revenir à la même situation qu’avant l’incident. Tu penses quand même pas qu’ils se sont dit “bon j’ouvre la liste et je supprime juste les 3 là”. " />

Non moi je crois à un jeu de test comme dit par Orange qui s’est retrouvé en prod vu les sites. C’est clairement des sites que je mets dans mes jeux de tests avec facebook / apple / microsoft / yahoo parce qu’ils me viennent à l’esprit directement.
T’auras certainement pas la liste de tous les sites bloqués, seul l’Etat l’aura à mon avis pour purger les IP qui ont pointés sur les serveurs de la main rouge à cause de cette redirection. Après tu peux demander à l’Etat ou Orange de te fournir les noms de domaines blacklistés à tord mais pas sûr que tu reçoives une réponse.

Le 19/10/2016 à 11h 46

Il y avait bonjourmadame aussi, voilà t’es content tu crois au complot ? On ne cite que wiki/google/ovh car ils sont très utilisés et on a vu l’impact directement.

Le 19/10/2016 à 09h 26

J’espère pour eux qu’ils ont discuté avec quelques experts type Bortzmeyer et les gars d’Orange (à minima)

Le 19/10/2016 à 08h 29

Le TTL était à 17200 sec donc tu prends l’heure du rollback + 17200sec

Le 19/10/2016 à 14h 54

A voir, à mon avis la seule contrepartie qu’ils peuvent demander est je pense une indemnisation sur le fait qu’Orange les a qualifier de terroriste.
Si le réseau interne qui relie les abonnés était tombé, personne n’aurait pu aller sur Google. La conséquence aurait été la même (-35 millions d’abonnés potentiels sur google). Pas pour autant qu’à chaque panne d’un FAI (fr ou non) Google demande des réparations sinon tout le monde ferait pareil et ça serait la fête.

Le 19/10/2016 à 12h 28

niveau VPN je n’ai pas encore trouvé mon bonheur, j’en essaye plusieurs mais souvent payant pour avoir une BP non bridé et un trafic illimité. Ca commence à vraiment exploser ce marché, ça ne tardera pas à voir débarquer un truc qui fonctionne bien pour peanuts.

Après faut regarder exactement les FQDN de ce trafic DNS, ça sera du teredo.microsoft.ipv6 quelque chose comme ça, mais si ton fils à installer du caca tu auras les malwares/spyware qui font transiter leurs données via le DNS grâce aux enregistrements TXT par exemple (notamment le cas des antivirus et d’apple).
Je te conseille une petite capture puis d’isoler les FQDN pour voir un peu les FQDN requêtés. Tu trouveras peut être quelques surprises pour épurer la bête.

Le 19/10/2016 à 11h 44

Tu n’as pas besoin de “redirecteurs”, si ton bind est configuré en mode récursif et qu’il a la liste des serveurs root (penser à la mettre à jour) ça fera le taf tout seul comme celui de ton FAI.

Le 19/10/2016 à 07h 20

Dans les box (notamment sur celle d’Orange) c’est un simple dnsmasq qui ne fait pas de résolution (juste du caching/redirection vers les vrais récursifs Orange).
Comme dans ta box il y met les VIP DNS Orange, par défaut sur tes équipements tu dois être en prendre les paramètres par défaut de la passerelle.
Si tu les changes tu n’auras aucun souci (type 8.8.8.8) au niveau de l’opérateur, c’est ni plus ni moins qu’un simple routage qui envoie ton paquet DNS vers les serveurs que tu as choisis (il n’y a aucun contrôle fait par l’opérateur ou juste des stats).
 
Pour le eavesdropping oui et non, aujourd’hui c’est certainement le cas il doit y avoir des stats sur le nombre de clients qui utilisent des DNS autre que celui du FAI, la possibilité peut être aussi de voir le contenu des paquets (projet big data) mais ça coûte très cher ! Pour le DNS, tu as des extensions pour chiffrer ton trafic, une fois chiffré ton opérateur ne pourra rien faire (enfin pas dans l’immédiat)

Le 18/10/2016 à 20h 50

Ca coute beaucoup trop cher de faire du DPI vu le nombre de requête à traiter, 35 millions de clients pour Orange ça en fait un paquet d’IPS pour filtrer tout ça… Au pire tu VPN et ils ne peuvent rien y faire puisque ce n’est plus taggé comme DNS.

 Le but de l’opérateur est d’appliquer la loi, bloquer le site par un moyen. Ils le font par DNS car pas cher, ni plus ni moins. Ils sont pas là pour faire chier dans les pires stratégies l’abonné.
Le problème des autres serveurs récursifs (openDNS, google etc…) c’est que vos données partent vous ne savez où, sont certainement monnayées. Je vous conseille sincèrement d’utiliser vos propres DNS (un petit BIND/unbound/powerDNS) ça tourne même sur un raspi ou c’est embarqué directement dans certains routeurs.

Le 18/10/2016 à 18h 56

Non si tu n’utilises pas les serveurs récursifs d’Orange ils n’ont pas de moyen autre de te bloquer. L’écran blanc était certainement dû au fait que les serveurs lamainrouge était mort sous le flood des clients redirigés chez eux

Le 18/10/2016 à 15h 27

Oui c’est possible théoriquement pour un FAI mais :

• Cher car il faut des routeurs capables de gérer ce genre de règles en nombre, déployer ces règles sur chaque routeur de ton réseau de collecte à chaque NI, NO, NE, point de peering tout ça.
  


• Empiler des règles réseaux de merde comme ça c’est une dégradation des perfs des routeurs (traitement paquets etc..)
  


• Empiler des règles c’est aussi plus de chance de faire une erreur lors d’une reconfiguration de l’équipement ou un debugging
  


• Tous les équipements réseaux ne sont pas gérer par la même équipe, à contrario des DNS (à fortiori) donc t’évites des échanges longs, douloureux et quiproquo
  
  Si aujourd’hui les FAI ont choisi le DNS c’est parce que ça coûte rien, le process est très simple et c’est centralisé (pas comme les X routeurs que tu as au quatre coins de ton réseau).