Auteur Sujet: Neutralité du net et blocage port 53 chez SFR  (Lu 3451 fois)

0 Membres et 1 Invité sur ce sujet

maximushugus

  • Client SFR fibre FTTH
  • *
  • Messages: 128
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #48 le: 04 janvier 2021 à 15:56:43 »
Je viens de regarder : en fait DNScrypt utilise le port 443 (en TCP et UDP) : https://dnscrypt.info/protocol/
Donc il devrait fonctionner même chez SFR mobile

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 7 556
  • FTTH 1Gb/s sur Paris (75)
Neutralité du net et blocage port 53 chez SFR
« Réponse #49 le: 04 janvier 2021 à 19:32:19 »

Chez SFR on voit qu'une requête UDP sur le port 53 est correctement acheminée et que l'on a bien la réponse si le protocole est vraiment du DNS.

Il semble donc qu'il y a une analyse du contenu du paquets pour déterminer si il peut être acheminé. L'analyse du contenu générique (IP / port) est insuffisante, il faut aller dans le contenu spécifique.


C'est a mon avis simplement un "transparent proxy" pour les requêtes DNS.

un DPI c'est tout autre chose.



vivien

  • Administrateur
  • *
  • Messages: 37 278
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #50 le: 04 janvier 2021 à 21:06:00 »
Pourquoi rajouter un "transparent proxy" ?

- Modifier les réponses pour certains nom de domaines qui ont un accord (paiement embarqué sur la page web pour des truc du genre comme le KKO Store) ?
- Loger les requêtes pour faire des statistiques sur les sites les plus visités
- Voir les serveurs tiers les plus utilisés, afin de pouvoir bloquer un serveur tiers malveillant (ceux qui remplacent les sites par une copie avec des pub en plus)
- Pour identifier des clients avec des équipements corrompus
- Pour bloquer des DDOS utilisant le protocole DNS
- ...

eahlys

  • Expert Bouygues Telecom
  • Client Bbox fibre FTTH
  • *
  • Messages: 323
Neutralité du net et blocage port 53 chez SFR
« Réponse #51 le: 05 janvier 2021 à 09:39:06 »
Je suis curieux, comment une DDoS peut être effectuée avec le protocole DNS ?

FloBaoti

  • Client Free adsl
  • *
  • Messages: 885
Neutralité du net et blocage port 53 chez SFR
« Réponse #52 le: 05 janvier 2021 à 09:48:25 »
Pas sûr que ça ait un rapport avec le sujet, mais DNS est un des 2 protocoles régulièrement utilisé aujourd'hui pour des DDoS massifs : https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/

vivien

  • Administrateur
  • *
  • Messages: 37 278
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #53 le: 05 janvier 2021 à 10:13:12 »
Tu fais une requête en mettant en source l'IPv4 de la cible de ton DDOS (c'est possible uniquement en UDP, vu qu'en TCP, il faut établir la connexion avant de faire la requête).

De milliers de PC infectés font des requêtes UDP sur de nombreux serveur DNS avec l'IPv4 source de la cible.

Les serveurs DNS répondent à l'adresse indiquée et submergent la cible par un trafic trop important pour le lien.

eahlys

  • Expert Bouygues Telecom
  • Client Bbox fibre FTTH
  • *
  • Messages: 323
Neutralité du net et blocage port 53 chez SFR
« Réponse #54 le: 05 janvier 2021 à 10:27:37 »
Tu fais une requête en mettant en source l'IPv4 de la cible de ton DDOS (c'est possible uniquement en UDP, vu qu'en TCP, il faut établir la connexion avant de faire la requête).

De milliers de PC infectés font des requêtes UDP sur de nombreux serveur DNS avec l'IPv4 source de la cible.

Les serveurs DNS répondent à l'adresse indiquée et submergent la cible par un trafic trop important pour le lien.
Ok merci, j'ai appris quelque chose :) C'est la même chose qui rend réticent à ouvrir un serveur iPerf UDP public non ?
Mais les FAI ne sont ils pas censés drop tous les paquets IP sortants utilisant une IP source qui ne vient pas à minima de leur AS ?

vivien

  • Administrateur
  • *
  • Messages: 37 278
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #55 le: 05 janvier 2021 à 10:46:08 »
iPerf2 ne vérifie pas qu'il y a un iPerf qui répond sur l'adresse source, c'est donc suicidaire d'ouvrir un iPerf2 en UDP au grand public.

iPerf3 fait les vérifications et il est donc possible de l'ouvrir.

maximushugus

  • Client SFR fibre FTTH
  • *
  • Messages: 128
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #56 le: 19 février 2021 à 23:02:53 »
Je relance un peu le sujet : le problème est toujours d'actualité chez SFR Mobile, le port 53 est filtré pour certaines utilisations, et le traffic passant dessus semble analysé.
Malgré un signalement à l'ARCEP, pas de nouvelles...

vivien

  • Administrateur
  • *
  • Messages: 37 278
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #57 le: 20 février 2021 à 05:09:47 »
Je vais être franc, ce n'est pas rapide, les entraves à la neutralité sont envoyés par lots aux opérateurs, avec la menace d'ouvrir une procédure.

Les opérateurs peuvent mettre pas mal de temps à corriger la chose. Si il faut modifier un firmware sur les box ou la configuration de nombreux équipements réseau, il y a de nombreux tests en maquette.

Donc cela prend toujours beaucoup de temps.

Si tu regardes d'autres entraves à la neutralité signalées sur le forum, tu peut voir que le délai est généralement de 1 à 2 ans.

maximushugus

  • Client SFR fibre FTTH
  • *
  • Messages: 128
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #58 le: 20 février 2021 à 06:46:06 »
Je m'en doutais, mais c'était surtout pour relancer un peu et pour dire que le problème est toujours présent 😔

fredsav

  • Client SFR sur réseau Numericable
  • *
  • Messages: 67
  • Savigny-sur-Orge (91)
Neutralité du net et blocage port 53 chez SFR
« Réponse #59 le: 23 février 2021 à 15:16:22 »
Le problème relaté ici rejoint peut-être le mien :

J'utilise l'app Adguard sur iOS depuis plusieurs années, sur des iPhones différents, en mode VPN et DNS spécifique.
J'ai été abonné aux opérateurs Sosh et Bouygues auparavant, sans souci.
Abonné RED depuis peu, je constate que le mode VPN/DNS d'Adguard coupe toute connexion internet 4G (surf impossible, applications déconnectées).
Sur un même téléphone, le fait de changer d'opérateur rend le mode VPN impossible à utiliser, ni des DNS spécifiques.

Des explications ? J'imagine que cela vient des serveurs SFR qui bloquent un flux quelque part car cela fonctionnait parfaitement via d'autres opérateurs...

 

Mobile View