Auteur Sujet: Neutralité du net et blocage port 53 chez SFR  (Lu 27512 fois)

0 Membres et 1 Invité sur ce sujet

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 259
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #36 le: 03 janvier 2021 à 23:30:21 »
chez SFR, les DNS tiers passent ;)
c'est tout ce qui n'est pas DNS qui est bloqué. (de ce que j'ai compris des tests de Vivien)

Oui c'est bien ça.
Mais du coup le protocole DNScrypt doit être bloqué je pense. Il faudra que je teste car je l'utilise sur ma ligne fixe mais pas sur mobile

kazyor

  • Expert des Télécoms
  • Expert
  • *
  • Messages: 1 362
  • Lyon 7ème (69)
Neutralité du net et blocage port 53 chez SFR
« Réponse #37 le: 03 janvier 2021 à 23:41:11 »
Donc le service d'inspection du port 53 en UDP n'est pas là pour bloquer des sites illégaux.
Quel pourrait être son usage ?

Limiter les DDOS avec amplification qui sont friands du DNS ?

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 929
  • WOOHOO !
    • OrneTHD
Neutralité du net et blocage port 53 chez SFR
« Réponse #38 le: 03 janvier 2021 à 23:43:46 »
chez SFR, les DNS tiers passent ;)
c'est tout ce qui n'est pas DNS qui est bloqué. (de ce que j'ai compris des tests de Vivien)
Intéressant cette nuance ! Vu la volumétrie que doit gérer SFR, je doute qu'ils aillent regarder dans le paquet vérifier que ça soit bien un paquet DNS.

Peut-être une limite de taille sur les paquets qui est activée ? Je doute que vos requêtes DNS fassent 1500 octets  ;D

Citer
Oui, c'est tout le but du forum, pourvoir discuter de ces choses un peu techniques (et de mon côté d'apprendre des choses). Mais ça fait un moment que je suis tes messages et ton FAI, et je crois pouvoir dire sans me tromper que tu n'es pas un FAI "standard", rien que dans la gestion de ton réseau, dans les investissements fais et dans la satisfaction client qui est affichée sur le forum.
Oui. Moi-même à mes débuts, neutralité du net, on ouvre tout à fond. Mais la réalité du terrain fait que tu es obligé de filtrer/brider, sinon tu as des sollicitations SAV derrière. Mais tu as raison, il faut expliquer, et argumenter sa démarche, et si possible laisser une alternative. Comme le fait de couper les connexions entrantes en IPv6 par exemple, c'est un "mal" nécessaire pour protéger à minima le LAN des particuliers... mais avoir un switch pour désactiver cette protection.

Je serais curieux de connaître la fréquence des DDOS. Comment c'est géré ? Tu reatribu une IP au client et tu bloque l'ancienne ?
Environ 1 attaque par jour.

Il y a 2 parties :
- la détection : chaque routeur qui a des intercos avec l'extérieur (le peering, les transits) renvoie un échantillon de tout le trafic (genre 0.1%) à un serveur qui analyse le nbre de paquets, les flux suspects etc. C'est lui qui détecte et décide s'il y a attaque ou pas. Il me produit un fichier avec tous les flux qu'il a vu pour pouvoir mieux régler mes filtres et servir à des enquêtes judiciaires à postériori.
- le filtrage : là le serveur a une session constante avec les routeurs (comme du peering), et le serveur annonce aux routeurs "hé pour joindre 62.192.xxx.xxx, c'est DTC", et comme les routeurs préfèrent cette "route", ils vont la mettre en top priorité dans la table de routage, et l'abonné est coupé net. L'annonce remonte même en dehors de mon réseau, pour pas que le trafic rentre dans le réseau (donc c'est même bloqué en amont pour garder des ressources sur les intercos pour le reste des abonnés).

Le blocage dure 1min, et aussi longtemps qu'il se fera doucher. Si c'est fini au bout de 2min, il retrouve son accès, l'IP ne change pas.

(je laisse le soin à un modo de scinder si besoin).

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 259
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #39 le: 03 janvier 2021 à 23:53:31 »


Peut-être une limite de taille sur les paquets qui est activée ? Je doute que vos requêtes DNS fassent 1500 octets  ;D


Tu peux le voir sur les captures wireshark au début de la discussion, les Packet initiaux wireguard font moins de 200 octets en udp, donc tout petits.
Le filtrage n'est donc pas sur la taille.
Et c'est un peu ça qui m'emmerde, c'est que c'est probablement du DPI que je trouve hautement malhonnête

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 929
  • WOOHOO !
    • OrneTHD
Neutralité du net et blocage port 53 chez SFR
« Réponse #40 le: 03 janvier 2021 à 23:53:59 »
Tu peux le voir sur les captures wireshark au début de la discussion, les Packet initiaux wireguard font moins de 200 octets en udp, donc tout petits.
Le filtrage n'est donc pas sur la taille.
Et c'est un peu ça qui m'emmerde, c'est que c'est probablement du DPI que je trouve hautement malhonnête
Ah oui, là c'est chaud par contre  :(

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 406
    • Ukrainian Resilient Data Network
Neutralité du net et blocage port 53 chez SFR
« Réponse #41 le: 04 janvier 2021 à 00:03:47 »
Imaginons, mon trafic DNS c'est 10 Mbps pour 10k abonnés en soirée (oui le trafic DNS légitime c'est insignifiant). D'un coup, un abonné se met à tirer 100 Mbps sur le port 53, j'aurais tendance à le ratelimiter pour le protéger (car s'il sature sa connexion, les DNS ne vont pas fonctionner correctement, il va croire que sa connexion merde, et va générer du SAV).

Faux, si l'utilisateur paye pour un accès à l'Internet à 100 Mbit/s alors il peut transmettre et recevoir à cette vitesse avec le protocole et les ports à sa convenance et aussi atteindre le nombre de paquets par seconde correspondant et toute manipulation ne doit pouvoir se faire sans son approbation sauf en cas de force majeure dans lequel cas il doit en être informé immédiatement.

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 259
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #42 le: 04 janvier 2021 à 00:05:08 »
Ah oui, là c'est chaud par contre  :(
Je ne suis pas ingénieur réseau, tu pourras peut-être répondre à ma place, mais mis à part du DPI je ne vois pas comment ce trafic peut être filtré.
Si c'est ça, c'est inquiétant parce que ça veut dire que notre trafic est décortiqué et analysé de façon assez précise.
Mais j'ai du mal à imaginer la puissance nécessaire pour analyser un tel volume de trafic que celui de SFR mobile.
Remarquez en Chine ils arrivent bien à faire du DPI sur l'ensemble du trafic chinois

pioup

  • Abonné Free fibre
  • *
  • Messages: 1 307
  • 10000
Neutralité du net et blocage port 53 chez SFR
« Réponse #43 le: 04 janvier 2021 à 00:36:13 »
Citer
Dans le même genre (chez SFR en tout cas), si on utilise la box fournie ils sont capables de voir si un appareil est connecté sur la box et de quel appareil il s'agit (vécu en direct au téléphone avec le "support technique de SFR", pour lequel j'avais rebranché la Neufbox, et qui m'ont demandé de déconnecter tel appareil du wifi pour faire un test. Je suis bien content de bypasser la Neufbox avec mon routeur perso). Ils voient également les paramètres de la box.
Enfin, j'ai retrouvé dans les Neufbox mais aussi dans l'ONT de chez SFR le programme tcpdump, qui est utilisable à souhait... J'aime pas être parano mais ça fait un peu peur

Ne soit pas parano, ils ont simplement accès à la table ARP  de la  box comme tu as accès toi même sur ton propre routeur. Ca sert juste au SAV.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 318
  • Chambly (60)
Neutralité du net et blocage port 53 chez SFR
« Réponse #44 le: 04 janvier 2021 à 02:22:41 »
Puisqu'ils sont en train de déployer l'IPv6, peut-être que ça pourrait être une sorte de DNS64 forcé.

Sur la capture de Vivien, on ne voit que la requête A.
Soit aucune requête AAAA n'a été faite (ça dépend du client), soit elle a été envoyée ailleurs.

Que donne une requête AAAA vers un site ipv4-only (ipv4.lafibre.info par exemple) ?

vivien

  • Administrateur
  • *
  • Messages: 48 296
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #45 le: 04 janvier 2021 à 08:54:35 »
Donc le service d'inspection du port 53 en UDP n'est pas là pour bloquer des sites illégaux.
Quel pourrait être son usage ?
Limiter les DDOS avec amplification qui sont friands du DNS ?

Deux autres hypothèses :
- Aucune utilisation
- En lien avec le consentement RGPD qui est régulièrement demandé


kgersen

  • Modérateur
  • Abonné Orange Fibre
  • *
  • Messages: 9 290
  • Paris (75)
Neutralité du net et blocage port 53 chez SFR
« Réponse #46 le: 04 janvier 2021 à 09:34:42 »
idem dans le TGV avec le Wifi a bord de la SNCF. Testé a l'instant, le port 53 ne sort pas (même en dns).

un test en ligne de commande est possible avec nc (apt install netcat):

nc  -z -v -u 8.8.8.8 53
version Android de netcat: https://play.google.com/store/apps/details?id=com.mtdeer.netpal

SFR n'est pas le seul à faire cela donc. Deja Bytel en faisait aussi.

Le port 53 étant souvent un vecteur d'attaque DDoS c'est surement la raison. Je doute qu'ils DPI quoique ce soit.

En plus de ce que propose hwti, il serait intéressant de voir s'ils modifient aussi les réponses DNS.
par exemple avec:
dig +short thepiratebay.com @8.8.8.8
ainsi que cette commande pour voir quel resolver dns est utilisé :
dig +short TXT whoami.ds.akahelp.net
(pour installer dig: apt install dnsutils)
« Modifié: 04 janvier 2021 à 10:00:37 par kgersen »

vivien

  • Administrateur
  • *
  • Messages: 48 296
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #47 le: 04 janvier 2021 à 09:49:18 »
Mais du coup le protocole DNScrypt doit être bloqué je pense. Il faudra que je teste car je l'utilise sur ma ligne fixe mais pas sur mobile
Je suis intéressé par le résultat du test.

Je doute qu'ils DPI quoique ce soit.

Si on prend le cas DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile, pas de DPI, l'IP de destination de tous les paquets sortant avec le port 53 ou le port 25 est changée. Quand la réponse revient l'IP source est de nouveau changée pour faire croire qu'elle provient de l'IP demandée.
On arrive à avoir des réponses d'IPv4 comme 255.255.255.254 ou 240.0.0.0 des IP qui ne peuvent pas héberger de serveurs DNS :
A noter que la problématique n'existe plus aussi bien sur le port 53 que le port 25 chez cet opérateur.

Chez SFR on voit qu'une requête UDP sur le port 53 est correctement acheminée et que l'on a bien la réponse si le protocole est vraiment du DNS.

Il semble donc qu'il y a une analyse du contenu du paquets pour déterminer si il peut être acheminé. L'analyse du contenu générique (IP / port) est insuffisante, il faut aller dans le contenu spécifique.