Auteur Sujet: Neutralité du net et blocage port 53 chez SFR  (Lu 27510 fois)

0 Membres et 1 Invité sur ce sujet

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 259
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #24 le: 03 janvier 2021 à 22:08:22 »
Merci à vous d'avoir confirmé mes tests, et d'avoir passé du temps la dessus.
Cela ressemble bien à du DPI (Deep Packet Inspection), en tout cas à ma connaissance seul le DPI est capable de différencier un protocole d'un autre sur un port donné comme c'est le cas ici.
Maintenant qu'est ce qu'on est censé faire de cette preuve d'utilisation du DPI chez SFR ? On informe l'ARCEP ?

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 618
  • Alpes Maritimes (06)
Neutralité du net et blocage port 53 chez SFR
« Réponse #25 le: 03 janvier 2021 à 22:13:10 »
Ne t'inquiète pas, vivien est bien placé pour remonter ce genre de soucis à l'ARCEP ;)

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 259
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #26 le: 03 janvier 2021 à 22:17:37 »
Je sais bien, je le suis sur Twitter également 🙂, mais si on peut faire bouger les choses en signalant c'est mieux. Parce que pour tout dire SFR n'ont que peu à faire des signalements à l'ARCEP : mon dernier signalement, le PMZ FTTH sur lequel je suis branché qui est plein/saturé chez SFR (photos à l'appui), entraînant des pannes et SFR qui ne fait rien

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 929
  • WOOHOO !
    • OrneTHD
Neutralité du net et blocage port 53 chez SFR
« Réponse #27 le: 03 janvier 2021 à 22:27:36 »
Ça me.conforte de plus en plus sur le fait que les FAI font ce qu'ils veulent des données sur leur réseau. De même ils font ce qu'ils veulent de l'accès à internet et aux différents ports.
Je ne suis pas d'accord avec toi.

Le port 53 est le port affecté par un organisme aux requêtes DNS, et doit être dédié à son seul usage.

Maintenant, si tu bricoles et tu le détournes pour mettre ton VPN et exploser les débits (par rapport à un réel trafic DNS j'entends), c'est uniquement toi que ça regarde, tant pis si tu te prends des contre-mesures du FAI pour protéger son réseau dans la figure.

Tu t'imagines même pas toutes les merdes que se prend un FAI quand un abonné se fait DDOS (déjà chez moi, c'est déjà joyeux, alors j'ose même pas imaginer le nbre chez un gros comme SFR), alors sachant cela, oui je comprends les contre-mesures que met SFR en place, ne t'en déplaise.

Là où je te rejoins, c'est sur le blocage pur et dur (que je trouve qq peu brutal, car du coup il ne permet même pas d'utiliser le DNS en temps que tel, quelque soit le serveur). Maintenant un rate-limiting/shaping du débit ne me choque pas.

eahlys

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 1 103
Neutralité du net et blocage port 53 chez SFR
« Réponse #28 le: 03 janvier 2021 à 22:32:28 »
Un rate-shaping reste et restera toujours contraire à la neutralité du net.
Cependant ici, contrairement à ce que faisait Bouygues Telecom (https://lafibre.info/4g-bytel/mitm-as-a-service-chez-byou-des-explications/msg762664/#msg762664), une requête DNS à un autre serveur DNS fonctionne. Le port 53 garde sa fonction première, sans limitations. C'est pour le reste que c'est emmerdant.

Perso, je considère que si je paye un forfait/abonnement internet c'est pour pouvoir utiliser 100% des ports comme j'en ai envie et au débit que je souhaite, sans aucune distinction.
Alors ça n'impacte pas mon usage (qui quand même se résume à 90% de streaming vidéo donc bon, j'en souffre pas trop), mais sur le principe c'est bof.

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 259
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #29 le: 03 janvier 2021 à 22:37:47 »
Je ne suis pas d'accord avec toi.

Le port 53 est le port affecté par un organisme aux requêtes DNS, et doit être dédié à son seul usage.

Maintenant, si tu bricoles et tu le détournes pour mettre ton VPN et exploser les débits (par rapport à un réel trafic DNS j'entends), c'est uniquement toi que ça regarde, tant pis si tu te prends des contre-mesures du FAI pour protéger son réseau dans la figure.

Tu t'imagines même pas toutes les merdes que se prend un FAI quand un abonné se fait DDOS (déjà chez moi, c'est déjà joyeux, alors j'ose même pas imaginer le nbre chez un gros comme SFR), alors sachant cela, oui je comprends les contre-mesures que met SFR en place, ne t'en déplaise.

Là où je te rejoins, c'est sur le blocage pur et dur (que je trouve qq peu brutal, car du coup il ne permet même pas d'utiliser le DNS en temps que tel, quelque soit le serveur). Maintenant un rate-limiting/shaping du débit ne me choque pas.

C'est effectivement un point de vu que je n'avais pas imaginé. Je n'ai certainement pas toutes les compétences et connaissances pour gérer un FAI encore moins aussi gros que SFR.
Mais je ne vois pas en quoi je fais quelquechose de mal/délétère d'utiliser le port 53 plutôt que le 51820 ? En terme de charge réseau c'est la même chose non ?
Et juste pour remettre en forme, l'utilisation d'un serveur DNS de notre choix reste possible. C'est juste que si on souhaite utiliser UDP 53 pour que chose que du DNS simple ce n'est pas possible (j'ai pas testé mais DNScrypt qui utilise le port 53 il me semble doit être bloqué par exemple).
Je ne comprendrais pas non plus pourquoi brider/limiter certains ports : une charge réseau de 200Mb/s a le même poids quelque soit le port ou protocole ?

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 929
  • WOOHOO !
    • OrneTHD
Neutralité du net et blocage port 53 chez SFR
« Réponse #30 le: 03 janvier 2021 à 22:57:29 »
Mais je ne vois pas en quoi je fais quelquefois de mal/délétère d'utiliser le port 53 plutôt que le 51820 ? En terme de charge réseau c'est la même chose non ?
Oui un paquet reste un paquet, quoi qu'il contient.

La différence se situe dans l'usage, et dans la détection pour déclencher les protections. Car en gros, ça passe par un port qui est très supervisé pour la qualité de service.

Imaginons, mon trafic DNS c'est 10 Mbps pour 10k abonnés en soirée (oui le trafic DNS légitime c'est insignifiant). D'un coup, un abonné se met à tirer 100 Mbps sur le port 53, j'aurais tendance à le ratelimiter pour le protéger (car s'il sature sa connexion, les DNS ne vont pas fonctionner correctement, il va croire que sa connexion merde, et va générer du SAV). Car je ne m'attends pas à véhiculer 10x la charge que j'ai d'habitude. Et analyser le contenu est cher en ressources, ce sont des grosses masses de trafic.

Maintenant si tu tires 100 Mbps sur un autre port non assigné, je m'en fous, car je sais que tu peux faire de très grosses pointes dessus, et que c'est prévu pour.

Un peu dans le même esprit que le NTP, ton PC demande l'heure une fois par jour allez, pas 100.000x par seconde quoi ;)

Tenez, je vous mets une p'tite capture quand j'isole un abonné chez moi (qui subit un DDOS) et un échantillon du trafic : (il y a des milliers de lignes comme ça, dont beaucoup de :53). Comme ça vous voyez comment ça peut se passer de l'autre côté.

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 618
  • Alpes Maritimes (06)
Neutralité du net et blocage port 53 chez SFR
« Réponse #31 le: 03 janvier 2021 à 22:57:42 »
Je pense que pour se protéger de certains DDOS (DNS AMP entre autres) les FAIs surveillent/contrôlent de près ce qui se passe sur ces ports qui sont régulièrement utilisés pour des DDOS ..

Il y a peut être les mêmes restrictions sur les ports NTP (123)

Ce n'est pas ton traffic en tant que tel qui est problématique, mais de laisser passer du traffic "non identifié" et potentiellement "générateur de DDOS" qui dérangent les FAIs je crois..

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 259
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #32 le: 03 janvier 2021 à 23:08:00 »

Imaginons, mon trafic DNS c'est 10 Mbps pour 10k abonnés en soirée (oui le trafic DNS légitime c'est insignifiant). D'un coup, un abonné se met à tirer 100 Mbps sur le port 53, j'aurais tendance à le ratelimiter pour le protéger (car s'il sature sa connexion, les DNS ne vont pas fonctionner correctement, il va croire que sa connexion merde, et va générer du SAV). Car je ne m'attends pas à véhiculer 10x la charge que j'ai d'habitude. Et analyser le contenu est cher en ressources, ce sont des grosses masses de trafic.


Je peux entendre que le FAI essaie de faire au mieux pour préserver la connexion, mais cette attitude de te bloquer/limiter "pour ton bien" est très discutable.

Mais le plus problématique est l'opacité de ces limitations/blocages, qui ne sont spécifiés dans aucune ressource chez SFR par exemple.
Si on m'avait dit que ce port était bloqué sur tel usage, ça m'aurait évité de passer des heures à chercher d'où venait le problème dans ma configuration réseau. Surtout que je ne cherche pas à saturer le réseau SFR mais simplement d'utiliser mon VPN personnel sur des connexions wifi verrouillées par un firewall.

Et enfin comme je disais, je peux comprendre les limitations qu'on nous impose, si elles sont expliquées. La connaissance c'est toujours je nerf de la guerre. Dans mon métier (médecine) on est également amené à proposer aux gens des choses qu'ils croient contre productives ou inefficaces ou dangereuses. En réalité les décision sont justifiées par des explications et connaissances pas toujours connues des gens. De même que le principe de la balance bénéficie/risque

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 929
  • WOOHOO !
    • OrneTHD
Neutralité du net et blocage port 53 chez SFR
« Réponse #33 le: 03 janvier 2021 à 23:23:02 »
Je peux entendre que le FAI essaie de faire au mieux pour préserver la connexion, mais cette attitude de te bloquer/limiter "pour ton bien" est très discutable.
Non ça protège l'ensemble, pas toi spécialement, c'est de la masse.

Là pour l'exemple, un abonné se prend 4 Gbps dans la tronche. Si elle avait été plus importante elle pourrait me saturer une interconnexion et faire sauter tout le monde.

Mais le plus problématique est l'opacité de ces limitations/blocages, qui ne sont spécifiés dans aucune ressource chez SFR par exemple.
Si on m'avait dit que ce port était bloqué sur tel usage, ça m'aurait évité de passer des heures à chercher d'où venait le problème dans ma configuration réseau. Surtout que je ne cherche pas à saturer le réseau SFR mais simplement d'utiliser mon VPN personnel sur des connexions wifi verrouillées par un firewall.
Encore une fois c'est de la masse, peu importe ton usage ou tes intentions. Personne ne va dévoiler ses règles firewall en public, sinon les attaques vont fuser.

Après voilà, pour recentrer, le blocage pur et dur, je trouve ça pas bien (car il permet même pas d'utiliser le DNS), on est d'accord. Mon but était d'apporter (à ma modeste taille) un éclairage sur le côté FAI de la chose. ;)

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 618
  • Alpes Maritimes (06)
Neutralité du net et blocage port 53 chez SFR
« Réponse #34 le: 03 janvier 2021 à 23:25:21 »
Après voilà, pour recentrer, le blocage pur et dur, je trouve ça pas bien (car il permet même pas d'utiliser le DNS), on est d'accord. Mon but était d'apporter (à ma modeste taille) un éclairage sur le côté FAI de la chose. ;)
chez SFR, les DNS tiers passent ;)
c'est tout ce qui n'est pas DNS qui est bloqué. (de ce que j'ai compris des tests de Vivien)

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 259
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #35 le: 03 janvier 2021 à 23:29:03 »

Après voilà, pour recentrer, le blocage pur et dur, je trouve ça pas bien (car il permet même pas d'utiliser le DNS), on est d'accord. Mon but était d'apporter (à ma modeste taille) un éclairage sur le côté FAI de la chose. ;)
Oui, c'est tout le but du forum, pourvoir discuter de ces choses un peu techniques (et de mon côté d'apprendre des choses). Mais ça fait un moment que je suis tes messages et ton FAI, et je crois pouvoir dire sans me tromper que tu n'es pas un FAI "standard", rien que dans la gestion de ton réseau, dans les investissements fais et dans la satisfaction client qui est affichée sur le forum.

Je serais curieux de connaître la fréquence des DDOS. Comment c'est géré ? Tu reatribu une IP au client et tu bloque l'ancienne ?