En lien avec le journal que j'ai posté récemment, il serait intéressant de connaitre le résolveur DNS que vous utilisez
-
Google :
345(12.1 %)
-
OpenDNS :
191(6.7 %)
-
Ceux de mon FAI :
1150(40.3 %)
-
Un service payant (précisez dans les commentaires) :
2(0.1 %)
-
Un service gratuit (précisez dans les commentaires) :
48(1.7 %)
-
Ceux de la FDN / LDN / … :
243(8.5 %)
-
Le mien ! :
494(17.3 %)
-
J'en sais rien … c'est pas magique l'informatique ? :
141(4.9 %)
-
La force guide mon butineur … :
78(2.7 %)
-
Aucun ! je tape directement les adresse IP que je connais par cœur, même les v6 !!! :
165(5.8 %)
Total : 2857 votes
# OpenNIC
Posté par FM332 . Évalué à 0.
J'ai découvert OpenNIC car il était recommandé par un site qui a fait l'objet d'un blocage par DNS menteur. Je l'utilise toujours même si le site bloqué a déménagé depuis.
[^] # Re: OpenNIC
Posté par PolePosition . Évalué à 6.
J'utilise également OpenNIC, car il est listé dans la doc de ma distribution chérie : https://wiki.archlinux.org/index.php/Resolv.conf
En fait, en voyant le sondage, je suis allé voir mon resolv.conf, que j'avais modifié (et ajouté le nohook resolv.conf), mais j'ai découvert avec stupeur que j'utilisais ceux de celui dont on ne prononce le nom (G****e). J'ai sans doute viré le nohook suite à des problèmes dans le passé. Moi qui fuis Google depuis des années, et qui bloque toutes les requêtes vers Google dans Firefox via Request Policy, moi qui refuse de pécho des dossier GDrive, j'ai été désolé ! Ils ont au moins 6 mois de navigation…
[^] # Re: OpenNIC
Posté par sebas . Évalué à 1.
OpenNIC également, j'ai changé à la suite des mauvais bruits qui ont courus sur openDNS, et de toute façon leur rachat par Cisco n'était pas pour me plaire.
J'utiliserais bien ceux de FDN, mais n'étant pas en France, j'arrive à trouver avec openNIC des serveurs localisés plus près géographiquement
[^] # Re: OpenNIC
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 5.
C'est une racine alternative (ils ajoutent des TLD « bidons », qui ne marcheront que chez eux), donc mauvaise idée.
# OpenDNS
Posté par hitmanu . Évalué à 0.
J'utilise OpenDNS qui me semble bien pour le moment.
Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.
[^] # Re: OpenDNS
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Cisco OpenDNS est situé aux USA, donc toutes les données persos filent chez un pays qui a zéro protection des données personnelles (idem avec Google Public DNS, bien sûr).
# celui de mon FAI
Posté par xavier philippon . Évalué à 8. Dernière modification le 08 janvier 2017 à 19:25.
Sauf quand il bloque T411 :(
# FAI FDN
Posté par ylsul . Évalué à 4.
Celui de mon FAI qui est FDN.
[^] # Re: FAI FDN
Posté par ekyo . Évalué à 10.
Résolveurs DNS ouverts
Pour lutter contre la censure sur Internet, FDN fait le choix de mettre à disposition de toutes et tous des résolveurs DNS récursifs ouverts.
Ils sont disponibles aux adresses IPv4 et IPv6 suivantes :
https://www.fdn.fr/actions/dns/
[^] # Re: FAI FDN
Posté par Havok_Novak . Évalué à 2.
Je ne savais pas qu'ils proposaient cela, merci pour l'info. :) Je m'en vais de suite les utiliser.
[^] # Re: FAI FDN
Posté par Anonyme . Évalué à 5.
… des résolveurs qui ne valident pas DNSSEC.
[^] # Re: FAI FDN
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Et, même s'ils le faisaient, comme le lien avec eux n'est pas sécurisé (aucune authentification, pas d'intégrité cryptographiquement vérifiée), cela n'aurait guère de valeur.
[^] # Re: FAI FDN
Posté par Anonyme . Évalué à 2.
Sauf si tu fais confiance à ce que tu traverses pour atteindre ces résolveurs.
# Openic
Posté par walker17x . Évalué à 1.
OpenNIC car conseillé par Break prism a la place de OpenDNS
[^] # Re: Openic
Posté par ekyo . Évalué à 6.
OpenDNS est un DNS menteur (il l'était en tout cas http://www.bortzmeyer.org/opendns-non-merci.html), je ne sais pas si c'est toujours d'actualité. Ce qui est d'actualité par contre c'est son rachat cet été par Cisco pour 635M$
Donc oui, si vous voulez un DNS neutre et respectueux, les DNS de FDN semblent tout indiqué.
# Avantage des autres DNS ?
Posté par Marco . Évalué à 3.
J'utilise personnellement le DNS de mon FAI comme beaucoup de monde.
Quelqu'un peut m'expliquer quelle est l'intérêt d'utiliser un DNS plutôt qu'un autre ?
Je veux dire, je n'ai pas souvenir d'avoir eu un souci avec le serveur DNS de mon opérateur, donc je pense il est dispo plus de 99% (chiffre de mon chapeau). Est ce que les autres serveurs respectent mieux la vie privée ? Moins de censure ? Quelles sont les autres avantages/inconvénients des autres serveurs dns ?
J'avais entendu parlé de pihole (https://pi-hole.net/) pour créer son serveur afin de neutraliser la pub à la source mais il me semble qu'on était dépendant d'un autre serveur dns (de mémoire).
[^] # Re: Avantage des autres DNS ?
Posté par jihele . Évalué à 9.
Certains DNS de FAI, suite à pression étatique en France, "bloquent" http://thepiratebay.org (TPB), par exemple. (Clique sur mon lien pour voir si tu es concerné.)
Une recherche très rapide me sort cet article : http://www.fredzone.org/comment-acceder-a-the-pirate-bay-depuis-la-france-339. Il y en a peut-être de plus pertinents.
Au-delà de ce site, ça pose des problèmes de principe.
Dans un état encore plus voyou que le notre, au lieu de supprimer certains sites, on pourrait rediriger vers des copies malveillantes.
Pour se prémunir de ça, passer par un DNS de confiance (d'où, ce sondage). Par exemple ceux de FDN.
Je sais plus pourquoi j'avais pas réussi à bien le faire. C'est pourtant simple. Toujours est-il que j'ai fini par conserver le DNS de mon FAI en ajoutant dans /etc/hosts l'adresse IP de TPB…
Enfin, même le DNS de FND s'appuie sur le système mondial, un peu centralisé, un peu aux mains des US, et je crois que la question d'un système alternatif a déjà été évoquée ici. On a des experts de la question sur linuxfr qui en parleront bien mieux que moi.
[^] # Re: Avantage des autres DNS ?
Posté par arnaudus . Évalué à 3.
Marrant, le site est accessible à partir du réseau renater :-)
La question, c'est décision de justice ou pas? Décision de justice = État de droit, pas décision de justice = censure d'État. Si tu ne veux pas te soumettre aux décisions de la justice de ton pays, tu entres dans une démarche qui est politique et militante, et beaucoup risquent de ne pas te suivre.
Par contre, ne serait-il pas possible de s'organiser pour n'utiliser un DNS tiers seulement dans certains cas particuliers, par exemple quand celui du FAI ne renvoie rien ou renvoie vers un site différent de celui du cache, etc? Après tout, il existe des arguments techniques assez forts pour utiliser le DNS du FAI (ne serait-ce que pour des raisons de performance, mais aussi pour des raisons de confidentialité puisque les requêtes au DNS du FAI ne se balladent pas à poil sur Internet). Il y a un risque pour que le remède soit bien pire que le mal en termes de confidentialité…
[^] # Re: Avantage des autres DNS ?
Posté par David Marec . Évalué à 4. Dernière modification le 09 janvier 2017 à 12:13.
N'oubliez pas l' auto-censure et la censure dirigée depuis la maison mère du FAI.
On peut imaginer, mais c'est de la science-fiction, qu'un FAI lié par son groupe à un marchand de produit culturel censure les sites coupable de contrefaçons de ces mêmes produits.
[^] # Re: Avantage des autres DNS ?
Posté par Anonyme . Évalué à 6.
Comme quand Orange s’est « trompé » de liste de zones bloquées et a renvoyer les utilisateurs de Wikipedia, Google, et cie. vers un site du gouvernement ?
Site qui, au passage, connaît donc toutes les informations sur la requête et stock l’ensemble de ces informations : IP source, URL visitée, etc.
[^] # Re: Avantage des autres DNS ?
Posté par Meewan . Évalué à 3.
Pas tout a fait. En réalité c'est un proces qui oposait les ayants droits (je ne sais plus lesquels) a thepiratebay. A la conclusion du proces les grands FAI (de mémoire orange, sfr, bouygues, numericable et free) ont été condamnés a bloquer ces sites.La solution technique retenue pour les bloquage est le DNS menteur. Les petits (comme FDN) n'ont pas été condamné et ne bloquent pas. Donc toi en tant que client tu n'as rien a voir dans cette décision de justice et tu peux tout a fait la contourner en toute légalité (enfin c'est pas plus illegal que quand tu y allait avant le proces).
Pour ma part j'ai d'abord utilisé les DNS de FDN mais ils sont saturé donc j'ai monté mon résolveur dans une machine virtuel sur mon réseau(de mémoire 1h de travail en comptant 30 min pour installer la vm).
[^] # Re: Avantage des autres DNS ?
Posté par Lutin . Évalué à 3.
Pourquoi avoir utilisé une machine virtuelle et pas directement ton pc ?
[^] # Re: Avantage des autres DNS ?
Posté par Meewan . Évalué à 1. Dernière modification le 09 janvier 2017 à 17:57.
Pour simplifier l'utilisation. Le fait d'avoir un serveur DNS dédié me permet de le renseigner dans le DHCP et l'adresse de ce serveur est configuré automatiquement sur toutes les machines de mon réseau.
Le coté virtuel est pour des raisons pratiques, il me reste des machines inutilisés qui ferait le travail (des raspberry pi) mais ça me fait des cables partout et je n'ai pas vraiment de meuble pour les ranger donc je l'ai virtualisé. Si mon "hyperviseur" (en réalité la machine qui me sert aussi de NAS) tombe je n'ai plus de DNS mais normalement elle est stable.
A ce niveau il faut aussi que je me créé un vrai DHCP (pour ne plus dépendre de celui de la box) mais je n'ai pas encore eu le temps d'apprendre a le faire.
[^] # Re: Avantage des autres DNS ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 4.
Ce ne sont pas forcément des pressions de l'État, cela peut être des décisions de justice (cas de The Pirate Bay ou, en général, des domaines qui embêtent les ayant-trop-de-droits), ou bien un ordre (pas une pression) comme http://www.bortzmeyer.org/censure-francaise.html …
Et pas besoin d'un « état encore plus voyou que le notre », la redirection se fait déjà (cf. article ci-dessus.)
[^] # Re: Avantage des autres DNS ?
Posté par notimeu . Évalué à 7.
La disponibilité, mon DNS FAI étant souvent hs.
La sincérité des réponses, et la confiance dans l'autre DNS.
La disponibilité de DNSSEC qui valide la réponse ou non.
La rapidité, avec un résolveur installé sur ma machine je gagne presque 100 ms par requête DNS.
Le fait que le DNS de mon FAI ne me donne pas les même résultats que le miens validé en DNSSEC.
FDN font partie des personnes qui se battent pour la Neutralité du Net. Ils interviennent à des conférences où ils expliquent leurs points de vue et leurs actions. Un petit lien très instructif (mais long, et pas forcément adéquat sur le sujet).
Si tu laisses ton traffic DNS passer chez ton FAI (ou Google, ou OpenDNS, …), voilà ce qui peut se passer :
Tu dois forcément te référer aux serveurs racine, qui sont le point d'entrée du système de nommage.
[^] # Re: Avantage des autres DNS ?
Posté par arnaudus . Évalué à 2. Dernière modification le 09 janvier 2017 à 17:15.
Du coup, il y a comme un problème chez ton FAI, non?
Je me demande comment c'est possible. Ton serveur va interroger la racine beaucoup beaucoup plus souvent que le DNS de ton FAI, et tu ne vas donc pas bénéficier du cache du DNS du FAI.
Là, tu as une sorte de défiance aveugle envers ton FAI, parce que ta solution (envoyer tes requêtes sur Internet) t'expose beaucoup plus. De toutes manières, ton FAI a le log de tes requêtes, donc s'ils veulent t'espionner, je ne vois pas ce que ça change. S'il te faut choisir un tiers de confiance, alors ça devrait être ton FAI, parce que par définition, il voit tout ce qui sort et tout ce qui rentre, il connait tes habitudes de connexion, il sait quelle chaine de TV tu regardes, vers quel site tu uploades et tu downloades, à qui tu téléphones et combien de temps ; il connait ton adresse et ton numéro de compte bancaire, sur lequel il a l'autorisation de faire des prélèvements. Il a très probablement plusieurs enregistrements de ta voix quand tu a appelé la hotline. Alors bon, honnêtement, qu'il ait accès à mes requêtes DNS est le cadet de mes soucis…
Ce que je veux dire, c'est qu'il n'est pas malsain d'essayer de protéger sa vie privée, par contre il faut quand même faire preuve d'un minimum de cohérence, et de ne pas coller une rustine sur un pneu dont la valve est explosée.
[^] # Re: Avantage des autres DNS ?
Posté par Anonyme . Évalué à 2.
Pour les sites les plus visités, je ne pense pas que ça soit si différent. Sauf configuration contraire, les résolveurs ne vont interroger la racine que lorsque le TTL en cache est < 1.
[^] # Re: Avantage des autres DNS ?
Posté par arnaudus . Évalué à 3.
Oui, mais justement, le cache du DNS du FAI va être beaucoup plus gros et beaucoup plus à jour que le tien, puisqu'il y a des milliers de gens qui l'utilisent. Si je comprends bien comment ça marche, tu as plusieurs possibilités :
* cache du navigateur/du système
* cache du résolveur (soit local, soit celui du FAI)
* interrogation de la racine
Certes, quand tu héberges ton DNS, tu gagnes un peu de temps par rapport à interroger celui du FAI puisque tu es en local, mais tu ne vas avoir quasiment aucun cache sur les sites que tu visites rarement. Du coup, sites fréquemment visités -> cache système, sites rarement visités -> interrogation de la racine, sites confidentiels -> interrogation de la racine. Si tu passes par celui du FAI, il y a probablement de fortes chances que tes sites rarement visités soient visités par d'autres, et tu vas bénéficier du cache. Pour les sites confidentiels rarement visités, il faudra de toutes manières faire une requête vers l'extérieur, mais tu payes ce coût dans tous les cas.
Du coup, j'imagine que dans les faits, les différences de perf sont mineures. Mais s'il en existe, je parierais plutôt pour un avantage au DNS FAI en utilisation réelle (ceci dit, ça mérite quand même un benchmark…).
[^] # Re: Avantage des autres DNS ?
Posté par Ellendhel (site web personnel) . Évalué à 7.
Les choses sont un peu plus complexes que cela.
Bien qu'il existe des RFC spécifiant quelles valeurs sont normalement admises pour un TTL, une des tendances actuelles est de configurer des temps très court pour les sites importants (ce qui permet d'améliorer les bascules de service, la gestion de charge et ce genre de choses). Le bénéfice pour de tels sites sera difficile dans tous les cas.
J'ai un serveur Unbound au boulot qui ne sert que pour des besoins d'infrastructure (équipement réseau, serveurs, …) et le gain est non négligeable si j'en crois les logs de la semaine passée :
Jan 08 04:40:25 unbound[26393:0] info: server stats for thread 0: 39588 queries, 23095 answers from cache, 16493 recursions, 0 prefetch
[^] # Re: Avantage des autres DNS ?
Posté par notimeu . Évalué à -2.
90% de mon traffic (sous GNU/Linux, donc tout ce qui est important, mails, web, protocoles custom, développements persos) est routé sur un VPN hébergé (le reste c'est Windo$, et étant donné que je n'utilise que les jeux dessus sans jamais faire autre chose) ailleurs, donc mon FAI peut toujours essayer de tout lire.
Après certes mon hébergeur distant peut tout voir, mais il est (moins) supposé lire le traffic que mon FAI.
[^] # Re: Avantage des autres DNS ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Il y a des tas de solutions équivalentes à Pi-Hole, le RPZ de BIND, par exemple.
# apt-get install unbound
Posté par Cyril Brulebois (site web personnel) . Évalué à 2.
Presque tout est dans le titre. Ajouter des IP dans
/etc/hosts, ça va bien deux minutes pour rigoler, mais ça n'est pas raisonnable.Et pour l'anecdote, ajouter quelques noms locaux (
foo.homeetc.) est assez facile (avec ou sans reverse). ;)Debian Consultant @ DEBAMAX
[^] # Re: apt-get install unbound
Posté par jihele . Évalué à 3.
C'est quoi le principe d'un DNS perso ?
Je veux dire, en deux mots, à quel endroit prend-il ses infos ? En quoi ses sources sont-elles fiables ?
[^] # Re: apt-get install unbound
Posté par gouttegd . Évalué à 7.
Il prend ses infos en contactant directement les serveurs faisant autorité, sans passer par un intermédiaire.
Il faut comprendre la différence entre un stub resolver et un full resolver (aussi appelé résolver récursif).
Seul un résolveur récursif est capable de répondre pleinement à une question, en émettant autant de requêtes que nécessaire auprès des différents serveurs faisant autorité jusqu’à obtenir une réponse. Par exemple, pour obtenir l’adresse de
www.example.com., un résolveur récursif contactera successivement un des serveurs faisant autorité pour la racine (qui lui répondra en gros « je connais paswww.example.com., mais demande aux serveurs faisant autorité pourcom., c’est leur rayon »), puis un des serveurs faisant autorité pourcom., puis finalement un des serveurs faisant autorité pourexample.com..Un stub resolver, en revanche, peut seulement transmettre la demande à un résolveur récursif et en attendre la réponse.
En général, par défaut le résolveur du système d’exploitation est un stub resolver, qui ne peut donc rien faire tout seul. Il doit être configuré avec l’adresse d’un ou plusieurs serveurs récursifs (typiquement, ceux indiqués par le FAI) à qui transmettre les demandes.
Installer un « DNS perso », dans ce contexte, consiste à remplacer le stub resolver du système par un résolveur récursif (comme Unbound par exemple), dispensant ainsi de la nécessité d’utiliser un résolveur récursif fourni par un tiers.
[^] # Re: apt-get install unbound
Posté par jihele . Évalué à 2.
Merci ! C'est clair.
Et le résolveur récursif connaît l'IP de chaque "serveur faisant autorité pour la racine" ? Comment ça se passe quand de nouvaux TLD sont créés ? Comment le résolveur récursif sait que le serveur qui gère .xxx est à l'IP 69.69.69.69 ?
Une limite du système serait la centralisation des "serveurs faisant autorité pour la racine". C'est-à-dire que le TLD est géré par une autorité qui peut dégager un sous-domaine qui lui plait pas.
[^] # Re: apt-get install unbound
Posté par Ellendhel (site web personnel) . Évalué à 5.
Grâce au fichier root.hints qui liste les adresses de tous les serveurs de la racine. Ce fichier est normalement fourni avec le logiciel serveur DNS (BIND ou Unbound).
Il y a effectivement des changements au niveau des serveurs racine de temps à autre, et il faut maintenir ce fichier à jour depuis le serveur de l'IANA (cron peut faire ça automatiquement).
[^] # Re: apt-get install unbound
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 4.
Hmmm, j'ai l'impression que vous confonderz la racine et les TLD. La racine peut ajouter (ou supprimer) un TLD. Le TLD peut ajouter (ou supprimer) les SLD (domaines de second niveau) et ainsi de suite.
[^] # Re: apt-get install unbound
Posté par jihele . Évalué à 2.
En effet, j'avais confondu racine et TLD. Merci pour cette remarque et pour liens dans les autres commentaires.
[^] # Re: apt-get install unbound
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 4.
D'abord, il faut vraiment éviter de parler de « serveur DNS » sans précision ou, encore pire, de « DNS » tout court.
Il existe en effet deux sortes de serveurs DNS radicalement différents, les serveurs faisant autorité, et les résolveurs.
Ici, je suppose qu'on parle des résolveurs, ces serveurs récursifs qui ne connaissent pas d'informations au démarrage et qui apprennent en interrogeant les serveurs faisant autorité.
Ces résolveurs partent de la racine (ils doivent donc avoir « en dur » les adresses des serveurs racine) et apprennent petit à petit les adresses des autres serveurs (« hey, serveur racine, tu connais linuxfr.org ? Non, mais voici les serveurs de .org » « hey, serveur de .org, tu connais linuxfr.org ? ») Notez que l'explication Wikipédia est fausse https://fr.wikipedia.org/wiki/Domain_Name_System#R.C3.A9solution_du_nom_par_un_h.C3.B4te
Pour assurer la fiabilité de ces informations, les domaines sérieux (pas linuxfr.org) sont signés cryptographiquement.
[^] # Re: apt-get install unbound
Posté par kuniyoshi . Évalué à 4.
Pour information, voici quelques liens qui pourraient en intéresser certains d'entre vous : (OS utilisé : OpenBSD)
https://obsd4a.net/wiki/doku.php?id=network:config:dns_cache
https://obsd4a.net/wiki/doku.php?id=network:config:unbound_dnssec
https://yeuxdelibad.net/ah/#toc64
Pour ma part, j'utilise mon propre serveur DNS (local récursif, unbound). Pour lancer ce service, j'ai notamment utilisé la commande :
service local_unbound enable && service local_unbound start
Alors… quel OS exploite mon portable ? ;)
[^] # Re: apt-get install unbound
Posté par Pierre-Alain TORET (Mastodon) . Évalué à 5.
Un truc antédiluvien qui n'est pas encore passé à systemd ? :D
[^] # Re: apt-get install unbound
Posté par kuniyoshi . Évalué à 4.
systemd… c'est quoi ? ;)
# un peu de technique ?
Posté par Tonton Th (Mastodon) . Évalué à 10.
http://8point8point8point8.eu.org/
# Ceux de Tor
Posté par geb . Évalué à 2.
… qui déportent la résolution un nœud de sortie, quand on utilise le Tor Browser, ou quand on force la résolution via Tor pour tout le système.
https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy#LocalRedirectionThroughTor
https://tails.boum.org/contribute/design/Tor_enforcement/DNS/
Ça a quelques défauts, mais ça marche :)
# Le problème des résolveurs publics
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Tiens, ça m'a motivé pour écrire pourquoi les résolveurs publics ne sont pas une bonne idée.
[^] # Re: Le problème des résolveurs publics
Posté par kuniyoshi . Évalué à 1.
Merci ! ;)
Sinon pour information
Avant qu'on ne me dise « mais ce n'est pas Michu-compatible, M. Michu ne vas quand même pas installer OpenBSD sur un Raspberry Pi pour avoir un résolveur sur son réseau »
Cela ne risque pas (Michu ou pas)… vu que le système OpenBSD n'a pas été porté sur une machine RPI car celle-ci n'est pas considérée comme assez ouverte (et donc sécurisée) par Theo de Raadt.
Source : https://yeuxdelibad.net/Blog/?mode=links&id=20160603183607
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.