Un résolveur DNS made in ilico
-
Pour faire simple, prenons un exemple : Lorsque vous souhaitez rendre visite ou écrire à votre lointain cousin Bob, vous avez besoin de connaître son adresse postale, pour cela vous questionnez généralement un annuaire.
Sur Internet, c'est le même principe, lorsque vous souhaitez visiter un site, votre ordinateur va chercher dans des annuaires dispersés dans toute la toile, l'adresse (appelée adresse IP) qui correspond au site souhaité et permettra donc de l'atteindre.
Lors de votre navigation sur le site de l'association www.ilico.org, votre navigateur internet va vous orienter sur l'adresse IP 80.67.180.3 de façon complètement transparente.
Cette annuaire, pour le consulter, on utilise le protocole DNS et c'est un serveur de votre FAI préféré qui va s'en charger. Il s'occupe d'interroger les différents annuaires jusqu'à trouver la bonne adresse. Et pour que se soit efficace, à chaque lecture, il questionne un annuaire de plus en plus précis jusqu'à trouver la réponse. Bien que techniquement un peu plus compliqué, nous pouvons en rester là, pour la compréhension de la suite.
Chaque fournisseur d'accès à internet fournit généralement ce service. Ce qu'il faut savoir, c'est que ce serveur DNS est interrogé à chaque fois que vous utilisez internet, par conséquent, il sait quels sites vous visitez. D'où l'importance de ne pas le mettre entre les mains de n'importe qui !
Jusqu'au mois de janvier 2017, les abonnés ilico dépendaient du serveur DNS de FDN (un autre fournisseur d'accès associatif, donc de confiance). Pour ne plus dépendre de ce dernier, ilico a dorénavant son propre serveur DNS ; qu'on appelle le résolveur DNS.
Parce qu'il vaut mieux prévoir, en cas de problème avec notre serveur DNS, c'est celui de FDN qui prendra automatiquement le relais (et non celui d'Orange ou de Free...)
C'est fait maison ! Ça marche très bien et ça respecte votre vie privée ! La modification du paramétrage de votre connexion s'est faite automatiquement après le redémarrage de votre modem.
Des questions ?
-
Oui, une, un an et demi après : autorisez-vous à utiliser votre résolveur même si on n'est pas abonné chez vous ? Si tout le monde s'amuse à faire ça on ne risque pas de le saturer ?
A vrai dire je n'ai aucune idée de l'intensité de trafic qu'un serveur DNS peut supporter, j'ai cru comprendre que c'était de la programmation très simple donc même à trafic élevé cela ne doit pas demander beaucoup de puissance de calcul...? -
@xisquare a dit dans Un résolveur DNS made in ilico :
Oui, une, un an et demi après : autorisez-vous à utiliser votre résolveur même si on n'est pas abonné chez vous ? Si tout le monde s'amuse à faire ça on ne risque pas de le saturer ?
Non, l'accès au résolveur est autorisé uniquement depuis des adresses IP d'Ilico. Pas depuis l'extérieur.
Si on l'ouvre, le plus gros risque, c'est de se retrouver à aider des attaques par amplification :
http://www.bortzmeyer.org/fermer-les-recursifs-ouverts.htmlA vrai dire je n'ai aucune idée de l'intensité de trafic qu'un serveur DNS peut supporter, j'ai cru comprendre que c'était de la programmation très simple donc même à trafic élevé cela ne doit pas demander beaucoup de puissance de calcul...?
Oui, c'est rien du tout. Ça ne poserait pas de problème de l'ouvrir. D'ailleurs, si ça branche des gens, on pourrait avoir un serveur DNS ouvert en TLS comme ce qu'il se fait chez nos camarades de Lorraine Data Network :
https://ldn-fai.net/serveur-dns-recursif-ouvert/