Auteur Sujet: DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile  (Lu 47243 fois)

0 Membres et 1 Invité sur ce sujet

thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #24 le: 25 mars 2017 à 01:49:31 »
ANY marche mieux, surtout si la zone est signé avec DNSSEC :)

corrector

  • Invité
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #25 le: 25 mars 2017 à 02:24:08 »
Alors tu devrais relire l'article… il ne parle pas QUE de resolvers DNS, mais il en parle
Il en parle quelque part un peu, mais l'attaque en question n'est PAS sur un résolveur.

Snickerss

  • Expert Free + Client Bbox fibre FTTH
  • Modérateur
  • *
  • Messages: 4 823
  • Mes paroles n'engagent que moi :)
    • BlueSky
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #26 le: 21 décembre 2017 à 23:56:10 »
Le problème est toujours d'actualité ? Je n'ai pas vraiment de quoi tester de mon coté.

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #27 le: 22 décembre 2017 à 01:18:21 »
Salut,
Le problème est toujours d'actualité ? Je n'ai pas vraiment de quoi tester de mon coté.
Ah, pas fait gaffe à cela. Même pas vu ce sujet avant.

Je crois que cela fait des années que ce n'est pas le cas sur l'apn des forfaits pour hotspots. De mémoire, je réussissais à avoir pirate bay (impossible avec les dns des opérateurs).

Boris de Bouygues Telecom

  • AS5410 Expert Bouygues Telecom
  • Abonné Bbox fibre
  • *
  • Messages: 2 763
  • Technopôle de Bouygues Telecom sur Meudon (92)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #28 le: 22 décembre 2017 à 09:37:09 »
C'est résolut pour le port 25 (SMTP).

DaveNull

  • Abonné SFR THD (câble)
  • *
  • Messages: 26
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #29 le: 22 décembre 2017 à 11:01:24 »
Salut,Ah, pas fait gaffe à cela. Même pas vu ce sujet avant.

Je crois que cela fait des années que ce n'est pas le cas sur l'apn des forfaits pour hotspots. De mémoire, je réussissais à avoir pirate bay (impossible avec les dns des opérateurs).

Je ne suis plus client Bouygues (et ce MITM est y pour beaucoup dans ma résiliation. Le rapport qualité prix aussi) donc je peux pas retester. Mais pour rappel j'ai découvert ça fin 2016 (entre septembre et décembre) et j'ai refait des tests quelques mois plus tard. Début 2017 c'était encore d'actualité. On doit pas avoir la même définition de « plusieurs années »…

Tu prétend que ce ce que j'ai constaté serait faux en te basant **uniquement** sur ta mémoire et le fait que tu as une fois réussi à accéder à tpb, sur on ne sait pas trop quel type d'abonnement/forfait… sachant que pb a paquets de nom de domaines justement pour contourner les filtrages par DNS (quelque chose me dit que ça fonctionne et que les FAI n'arrivent pas à suivre pour tous les bloquer)… C'est tout sauf un test digne de ce nom

Donc pour donner les détails, je resors mes tests faits début 2017
En essayant de comprendre pourquoi TLSA Validator me retournait que des erreurs pour des domaines portant une signature valide (debian.org, freebsd.org) ainsi que des domaines n,ayant pas du tout DNSSEC configuré…

Test sur ligne 3G/4G BandYou en configurant un DNS tierce supportant DNSSEC (TSLA Validator utisant le résolveur configuré sur l'OS)


Test sur ligne fixe d'un autre opérateur en configurant le même DNS tierce supportant DNSSEC (TSLA Validator utisant le résolveur configuré sur l'OS)

 
Mes tests sont en 3 étapes :
- Interroger un résolveur censé retourné une réponse DNSSEC valide (résolveur d'un FAI associatif)) en demandant explicitement la les champs liés à DNSSEC :
Résultat attendu : RRSIG valide.
Résultat : pas de RRSIG.

Sur une ligne fixe d'un autre opérateur
Citer
dig @80.67.188.188 +dnssec debian.org
 
; <<>> DiG <VERSION> <<>> @80.67.188.188 +dnssec debian.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22069
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;debian.org. IN A

;; ANSWER SECTION:
debian.org. 109 IN A 140.211.15.34
debian.org. 109 IN A 149.20.20.22
debian.org. 109 IN A 5.153.231.4
debian.org. 109 IN A 128.31.0.62
debian.org. 109 IN A 130.89.148.14
debian.org. 109 IN RRSIG A 8 2 300 20161031065252 20160921055252 7866 debian.org. ZERtXROfGeAS+NYTa3BaDk/Q41QkuiimerRJ9+6WMSIeKNUnfPOJR01+ Y1KzxZ9bxhVJMaeLKeYs7eQmmOFiv1tIVb5fgQRjMdMn+1QyZZEz84Ru 9K5Udohml9wboEsQNEv+ejTSVjyDoZHwdBbZjZ9ToOt4v9bGLgCAXMu/ FjkFXJDyk5wJs3g9VgnrAYx3oHoIQFVALtu8u+bktVvDsHv+8rXbjkBv e6GkB1vAvh5HQ0X/cQbQ0lekFI8FtXFT

;; Query time: 51 msec
;; SERVER: 80.67.188.188#53(80.67.188.188)
;; WHEN: Thu Sep 22 19:54:48 CEST 2016
;; MSG SIZE rcvd: 353

J'ai le résultat attendu est bien là.

Sur une ligne 3g/4G BandYou (bouygues)
Citer
dig @80.67.188.188 +dnssec +cdflag debian.org

;<<>> DiG <VERSION> <<>> @80.67.188.188 +dnssec +cdflag debian.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49096
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debian.org. IN A

;; ANSWER SECTION:
debian.org. 26 IN A 5.153.231.4
debian.org. 26 IN A 128.31.0.62
debian.org. 26 IN A 130.89.148.14
debian.org. 26 IN A 140.211.15.34
debian.org. 26 IN A 149.20.20.22

;; Query time: 704 msec
;; SERVER: 80.67.188.188#53(80.67.188.188)
;; WHEN: Thu Sep 22 20:14:32 CEST 2016
;; MSG SIZE rcvd: 119

Même requête en interrogeant le même résolveur mais sur une ligne mobile Bouygues… RRSIG a disparu de la réponse… C'est pas le même résolveur DNS qui répond


- Interroger plusieurs résolveur qui n'existent pas (IP qui pointe vers rien ou autre chose que des résolveur)s publiques :
Résultat attendu : Timeout valide.
Résultat : réponse à ma requête DNS avec comme IP source des paquet, l'IP foireuse que j'ai interrogé à chaque fois.

Sur une ligne fixe d'un autre opérateur
Citer
dig @138.2.4.6 +dnssec debian.org

; <<>> DiG <VERSION> <<>> @138.2.4.6 +dnssec debian.org
 ; (1 server found)
 ;; global options: +cmd
 ;; connection timed out; no servers could be reached

J'ai le résultat attendu est bien là. C'est normal qui trouve rien : 138.2.4.6 n'étant pas un résolveur public

Sur une ligne 3g/4G BandYou (bouygues)
Citer
dig @138.2.4.6 +dnssec debian.org

; <<>> DiG <VERSION> <<>> @138.2.4.6 +dnssec debian.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14422
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1pMrJSt9LLQPS

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debian.org. IN A

;; ANSWER SECTION:
debian.org. 300 IN A 140.211.15.34
debian.org. 300 IN A 149.20.20.22
debian.org. 300 IN A 5.153.231.4
debian.org. 300 IN A 128.31.0.62
debian.org. 300 IN A 130.89.148.14

;; Query time: 229 msec
;; SERVER: 138.2.4.6#53(138.2.4.6)
;; WHEN: <DATE>
;; MSG SIZE rcvd: 119

Tiens donc… J'ai bien une réponse avec les IP de debian.org. Mais SANS le champ RRSIG que j'ai pourtant explicitement demandé (option +dnssec) et que debian.org a évidemment dans ses enregistrement DNS.

- Scan nmap de l'IP interrogée
Test qui montraient clairement qu'il y a avait un proxy avec un nom de domaine appartenant à Bouygues, entre moi et Internet (Du CGNAT très probablement) et que ce proxy montrait un port 53 (DNS) ouvert même si le serveur dont je scannait les ports n'a pas de port résolveur DNS public… Le port correspond probablement au résolveur DNS de Bouygues sur lequel le proxy redirige tous les requêtes adressées au port 53

Un nmap sur l'IP 138.2.4.6 qui n'est ni une IP appartenant à Bouygues Telecom ni un solveur DNS publique, me retourne les traces d'un des proxies/équipement NAT de Bouygues avec un port 53/TCP ouvert…
Ça sent la les redirections de certains paquets en fonction du port (53) va au résolveur DNS de bouygues, 25/TCP va vers le proxy SMTP  [Service Info: Host: smtp-proxy-1b.bouyguesbox.fr] auxquels je n'ai jamais demandé à causer…)

Citer
nmap -A 138.2.4.6

Starting Nmap <VERSION> ( http://nmap.org ) at <DATE>
Nmap scan report for 138.2.4.6
Host is up (0.13s latency).
Not shown: 993 filtered ports
PORT STATE SERVICE VERSION
21/tcp open ftp?
|_ftp-bounce: no banner
25/tcp open smtp Postfix smtpd
|_smtp-commands: Couldn't establish connection on port 25
53/tcp open domain ISC BIND hostmaster
80/tcp open http?
554/tcp open rtsp?
1723/tcp open pptp?
|_pptp-version: ERROR: Script execution failed (use -d to debug)
8080/tcp open http-proxy?
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
OS fingerprint not ideal because: Missing a closed TCP port so results incomplete
No OS matches for host
Network Distance: 4 hops
Service Info: Host: smtp-proxy-1b.bouyguesbox.fr

TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
1 2.36 ms 10.42.0.1
2 75.44 ms 10.125.12.239
3 81.89 ms 10.125.14.234
4 94.37 ms 138.2.4.6

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 358.62 seconds

Évidemment j'ai fais les tests avec plusieurs noms de domaines et IP pour confirmer les résultats, mais pas à grand chose de tout conserver/publier, ça fait déjà un paquet d'infos à mettre en forme et à expliquer, pour moi, et à lire pour les autres…

LA **seule** explication logique et cohérente tous ces comportements, c'est que les équipements de Bouygues font du MITM sur DNS pour intercepter les requêtes et les rediriger vers le résolveur de Bouygues, qui les traitent et qui les revoient en prenant soin à l'adresse IP source (en mettant celle que j'ai interrogé plutôt que celle du serveur qui a effectivement répondu). Ça ressemble fortement à de la redirection de paquets + la réécriture d'IP avec du DNAT…

Nh3xus

  • Réseau Deux Sarres (57)
  • Abonné MilkyWan
  • *
  • Messages: 3 247
  • Sarrebourg (57)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #30 le: 22 décembre 2017 à 11:31:33 »
Il faudrait tester avec les APN ipv6 de Bouygues pour voir si le trafic ipv6 est aussi bricolé.

DaveNull

  • Abonné SFR THD (câble)
  • *
  • Messages: 26
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #31 le: 22 décembre 2017 à 11:56:40 »
Il faudrait tester avec les APN ipv6 de Bouygues pour voir si le trafic ipv6 est aussi bricolé.

+1 : Si quelqu'un veut s'en occuper, le résultat m'intéresse. Bouygues ne fournissait pas encore IPv6 (ou juste pas sur le type de forfait que j'avais?) quand j'étais chez eux donc j'ai pas pu tester
« Modifié: 22 décembre 2017 à 12:32:55 par DaveNull »

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #32 le: 22 décembre 2017 à 16:36:00 »
Du calme DaveNull.

Je confirme ce que j'ai dis, avant 2015, et probablement aujourd'hui.
J'ai aussi précisé que c'était un autre apn.
B&You (toi) et Sensation ont un autre apn... où je ne change pas le dns, car je n'utilise pas le mode modem du smartphone.

Par contre, sur ordi, il m’arrive d'utiliser un hostpot 4G, avec le forfait adéquat (bbox nomad). Et là, nous n’avons pas les mêmes règles par l'opérateur. Idem en 4G box, encore un autre apn.

DaveNull

  • Abonné SFR THD (câble)
  • *
  • Messages: 26
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #33 le: 22 décembre 2017 à 17:27:07 »
Citer
Du calme DaveNull.

Parce que les gens ne prennent pas tes propos pour argent comptant, quand ils ont constaté le contraire, ça implique nécessairement qu'ils sont « pas calmes » ?  ???

Ensuite, j'ai jamais parlé de box 4G, j'ai parlé 3G/4G en passant par le mode modem de l'ordiphone…

En capture d'écran Extrait de la fiche récap des services BandYou sur la quelle j'ai fait le test… Le partage de connexion (ordiphone qui fait office de hotspot) est « inclut » (1) dans ce type de forfait, donc officiellement je peux utiliser APN configuré sur le téléphone (automatiquement) pour utiliser le téléphone comme hotspot. Donc ton argument sur « un AP différent pour hotspot » fait :
- Soit référence au hotspot exclusivement fixe (box 4G) auquel c'est hors sujet puisque je parlais pas de box 4G et donc la question à la quelle tu répond ne concerne pas la box 4G
- Soit référence aux hotspot en général (donc ça inclut l'APN sur lequel j'ai fait mes tests), au quel cas ton affirmation est fausse car ton ça suppose que le MITM DNS que j'ai constaté ne concerne pas un APN qui permet l'utilisation du téléphone en tant que hotspot (or si, justement…).

Et je maintiens qu'aux dates (dernier trimètre 2016 et début 2017) ou mes tests ont été effectués, Bouygues Telecom faisait de MITM sur DNS sur ses forfaits mobile 4G, y compris sur les APN dont ils n'interdisent pas l'utilisation pour faire hotspot avec son téléphone (puisque la fiche de vente prétend que c'est un service vendu à part alors qu'en réalité, c'est juste une fonctionnalité du téléphone)


D'ailleurs faudrai m'expliquer comment tu peux affirmer qu'il y a pas de MITM DNS si tu utilises QUE le DNS de bouygues, puisque tu dis toi même que tu le change pas…


1. Passons sur le fait qu'un octet sur écran d'ordiphone et un octet sur PC c'est strictement pareil et que c'est par conséquent une escroquerie de prétendre que c'est un service à part

Oxynux

  • Abonné Bbox fibre
  • *
  • Messages: 347
  • FTTH ↓1Gb/s ↑250Mb/s sur Paris 16 (75)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #34 le: 21 juin 2018 à 12:46:44 »
J'ai migré vers un forfait B&You et je constate que Bouygues Tel intercepte toujours les requêtes DNS vers les autres résolveurs pour les rediriger vers le sien  >:(

Donc si on veut utiliser d'autres résolveurs on doit utiliser un VPN ou des résolveurs supportant DNS over TLS ou DNSCrypt voir DNS over HTTPS (qui n'est pas encore normalisé)
Pour DNS over TLS a ma connaissance seul Quad9 et CloudFlare le propose, mais seul Android P permet d'en tirer parti nativement.

Entre ça et l'utilisation de ByteMobile, je trouve que ça renvoi une image négative de l'internet mobile chez ByTel.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #35 le: 21 juin 2018 à 13:46:54 »
ByteMobile n'est plus utilisé depuis 2016 :
J'ai oublié de vous faire un retour : Il n'y a plus de compression ByteMobile chez Bouygues Telecom.

Pour contourner l’interception du port 53, l'utilisation de DNS over HTTPS (DoH) est une solution (merci Firefox)
Cela être utile dans de nombreux pays où la liberté d'expression est très limitée et où les requêtes DNS sont interceptées pour bloquer des sites Internet.
Je me demande si un site référence les opérateurs ou pays (car généralement c'est imposé par l'état) qui interceptent les requêtes DNS quel que soit l'IP utilisée.

J'ai été il y a trois ans en Turquie et il y avait une interception DNS. Il y avait également un snif des requêtes http : Après avoir mis l'IP de Youtube dans mon /etc/hosts j'ai été bloqué pour les requêtes Youtube en http (a l'époque Youtube était proposé en http et https). Merci le https qu fonctionnait bien :-)

Et pour se détendre sur le sujet, la campagne RSF: Une année exceptionnelle pour la censure