La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => SFR / RED => 
Actus SFR Altice => Discussion démarrée par: vivien le 01 août 2013 à 11:57:34
-
Les DNS primaire et secondaire de SFR
SFR change ses serveurs DNS
En configuration automatique, votre ordinateur utilise le relais DNS interne de la Neufbox mais, quel DNS primaire et secondaire indiquer si vous souhaitez configurer votre ordinateur en IP fixe ?
Plusieurs solutions sont possibles :
Solution 1 : Utiliser les serveurs DNS officiels de SFR (configuration recommandée)
DNS Primaire (nouveaux serveurs) : 109.0.66.10
DNS Secondaire (nouveaux serveurs) : 109.0.66.20
Cette solution permet de contourner d'éventuels bugs dans le relai DNS de la Neufbox car on en passe plus par lui.
Exemple sous Windows :
(https://lafibre.info/images/altice/201308_dns_sfr_officiels.png)
Solution 2 : Utiliser le relai DNS de la Neufbox
DNS Primaire : 192.168.1.1
DNS Secondaire : laisser vide
Cette solution permet de faire fonctionner les noms de domaine géré par la Neufbox
Solution 3 : Utiliser les serveurs DNS de Google
(https://lafibre.info/images/logo/GoogleDNS.jpg)
DNS Primaire Google: 8.8.8.8 et 2001:4860:4860::8888 en IPv6
DNS Secondaire Google : 8.8.4.4 et 2001:4860:4860::8844 en IPv6
Solution 4 : Utiliser les serveurs DNS de FDN
(https://lafibre.info/images/associatif/logo_FDN_original.png)
DNS Primaire FDN : 80.67.169.12 et 2001:910:800::12 en IPv6
DNS Secondaire FDN : 80.67.169.40 et 2001:910:800::40 en IPv6
Solution 5 : Utiliser les serveurs DNS de OpenDNS (racheté par Cisco)
(https://lafibre.info/images/logo/OpenDNS.png)
Basic :
DNS Primaire OpenDNS : 208.67.222.222
DNS Secondaire OpenDNS : 208.67.220.220
Avec filtrage des sites Adultes et frauduleux :
DNS Primaire OpenDNS : 208.67.222.123
DNS Secondaire OpenDNS : 208.67.220.123
Solution 6 : Utiliser les serveurs DNS de DNS.WATCH
(https://lafibre.info/images/logo/logo_dnsWatch.png)
DNS Primaire DNS.WATCH : 84.200.69.80 et 2001:1608:10:25::1c04:b12f en IPv6
DNS Secondaire DNS.WATCH : 84.200.70.40 et 2001:1608:10:25::9249:d69b en IPv6
Solution 7 : Utiliser les serveurs DNS Publics de Yandex (https://dns.yandex.com/)
Basic :
DNS Primaire Yandex : 77.88.8.8
DNS Secondaire Yandex : 77.88.8.1
Avec filtrage des sites hébergeant des virus ou des sites frauduleux :
DNS Primaire Yandex : 77.88.8.88
DNS Secondaire Yandex : 77.88.8.2
Avec filtrage des sites Adultes et frauduleux :
DNS Primaire Yandex : 77.88.8.7
DNS Secondaire Yandex : 77.88.8.3
Solution 8 : Utiliser les serveurs DNS Publics de Level3
DNS Primaire Level3 : 4.2.2.1
DNS Secondaire Level3 : 4.2.2.2
Comparatif de performance :
Il y a eu dans le passé, avec l'ancienne architecture DSN de SFR des problèmes de performances avec les DNS officiels (cf post Saturation des DNS SFR tous les soir depuis quelques semaines (https://lafibre.info/sfr-espace-technique/saturation-des-dns-sfr-tous-les-soir-depuis-quelques-semaines/).
Ces problèmes de performances de 2010 appartiennent au passé et aujourd'hui les meilleurs performances sont obtenues avec les DNS officiels, une seulle IP qui est devant une répartiteur de charge, ce qui permet à SFR d'augmenter simplement les capacité de la plateforme ce qui n'étais pas le cas avec l'ancienne architecture DNS.
C'est l'occasion de voir les avantages et inconvenants des serveurs DNS gratuits Google et OpenDNS :
En positif :
- Protection anti-phishing
- Protection contre diverses attaques DNS
- Gratuit, pas besoin de logiciel à installer
En négatif :
- Open DNS est un "DNS menteur" : en cas de faute de frappe, il fait croire que le nom de domaine existe et fait des propositions (Moteur de recherche) agrèmenté de publicité qui leur rapporte de l'argent (et permet de financer ce service gratuit). Les DNS de SFR et Google Pubilc DNS ne sont pas des "DNS menteur".
- Google Public DNS utilise un serveur DNS propriétaire (ce n’est donc pas BIND et Google ne prévoit pas de publier les sources)
- Open DNS et Google ont les log de requêtes pour savoir exactement qui va sur quel site et à quel moment. Google à déjà racheté un outil de statistique Google Analytics (https://www.google.com/intl/fr/analytics/) dans ce but mais il n'est actif que sur les sites qui acceptent de le mettre en place. (Google Trends (http://trends.google.com/) pourrait utiliser les données issus des DNS de Google).
- OpenDNS et Google ne sont pas plus rapide que les DNS de SFR, ces derniers étant hébergés au cœur du réseau de SFR.
Conclusion :
Il y a donc du pour et du contre dans la mise en place de ces DNS gratuits… Ils sont utiles dans le cas d'un FAI qui a des DNS qui bloque certains sites web (Orange avec LiveUpdate (https://lafibre.info/orange-les-news/live-update-de-norton-bloque-par-les-dns-dorange/) par exemple ou l'ensemble des FAI français suite à la demande de la justice pour le site stanjames.com (http://www.maitre-eolas.fr/post/2010/08/18/L-affaire-StanJames.com-%28TGI-Paris,-6-ao%C3%BBt-2010%29)) ou qui redirige les erreurs d’adresses vers ses propres pages de pub (comme OpenDNS).
Mais choisir les DNS de Google, ça leur donne un grand pouvoir, du simple fait qu’ils sont omniprésents dans les mails, les statistiques, les applications en ligne, ou la recherche tout simplement. En croisant toutes ces infos, votre vie privée ne fait pas long feu...
Effacer le cache DNS sous Windows
en ligne de commande, exécutez la commande ipconfig /flushdns
Étude de l'ICANN de mars 2022 sur les résolveurs DNS utilisés dans l'Europe : Le rapport donne de nombreuses statistiques - sans surprise Google est le plus utilisé des serveurs DNS publics - et le rapport liste les 32 serveurs DNS publics existants)
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/doc/202203_icann_resolveurs_dns_utilises_dans_ue.png) (https://lafibre.info/images/doc/202203_icann_resolveurs_dns_utilises_dans_ue.pdf)
-
Avant, il y avait une trentaine de serveurs DNS (l’ancienne architecture DNS de SFR) qui étaient supervisés sur SmokePing : https://lafibre.info/dns/smokeping.cgi?target=SFR.DNS
Si vous utilisez ces serveurs dans votre configuration, il faut remplacer les serveurs DNS 109.0.66.10 et 109.0.66.20 car les autres serveurs vont être arrêtés.
Les nouveaux serveurs sont juste pingés sur SmokePing, car il n'est plus possible de faire des résolution DNS dessus en étant externe à SFR.
Voici le mail que j'ai reçu de SFR pour m’avertir de la fermeture des anciens serveurs :
Bonjour,
je suis en charge des plates-formes DNS au sein de SFR.
Vous publiez une page web présentant les tests de mesures de différents DNS de SFR, à l'adresse : https://lafibre.info/dns/smokeping.cgi?target=SFR.DNS
Les différents serveurs mesurés sont hélas tous obsolètes, et vont faire l'objet de retrait de production.
Afin que nos abonnés ne soient plus tentés de les utiliser, serait-il possible de retirer les mesures sur ces adresses IP ?
Les seules adresses de DNS pour les clients SFR sont depuis fin 2010 les IP suivantes : 109.0.66.10 et 109.0.66.20
Vous pouvez faire les mesures sur ces serveurs sans problème.
En vous remerciant par avance pour la prise en compte de mon message,
Cordialement,
--
David xxxxxxxx - Architecte Système Expert
SFR / Division Réseau & SI / Plates-Formes de Services
-
Pour information, les serveurs DNS sont différents pour les clients SFR Réunion (SRR).
Je ne suis pas sur ma connexion SFR actuellement pour revérifier, mais d'après ce qui se trouve sur mon disque dur les serveurs DNS de SRR sont 109.122.130.196 et 109.122.130.67, et la principale différence est la présence de redirections DNS pour les noms de domaine des serveurs qui envoient la configuration de la Neufbox (general.nb4dsl.neufbox.neuf.fr -> general.nb4dsl.srr.neufbox.neuf.fr de mémoire).
-
D'ailleurs ca m'impacte (plus de web mais skype marche)
Idem pour ma soeur, le passage sur les dns google permet de resoudre
(Et pourtant le nslookup marchait)
-
> Si vous utilisez ces serveurs dans votre configuration, il faut remplacer les serveurs DNS 109.0.66.10 et 109.0.66.20 car les autres serveurs vont être arrêtés.
mode "chasse des économies" on
-
Les DNS primaire et secondaire de SFR
Définition de "primaire" et "secondaire", SVP?
(Hint : ça n'existe pas.)
-
tu demande une explication et tu dis que ca n'existe pas ^^
-
Je voudrais savoir quel sens est attribué à ces termes.
Tout en précisant qu'il n'y a aucune différence entre ces serveurs DNS.
-
est ce que ça ne viendrai pas tout simplement des zones dns primaire et secondaire (maitre / esclave)
qui par abus de langage aurait fini par donner ce qu'on voit maintenant?
faut le prendre comme serveur 1 et serveur 2 ....
-
est ce que ça ne viendrai pas tout simplement des zones dns primaire et secondaire (maitre / esclave)
qui par abus de langage aurait fini par donner ce qu'on voit maintenant?
Voilà, on transpose une terminologie spécifique adaptée à domaine spécifique dans un domaine différent qui n'a rien à voir, où les termes n'ont plus de sens. (Et ce n'est pas un cas isolé : la terminologie de "disque ATA maître"/"disque ATA esclave" n'a aucun sens technique.)
Si tu considères que
- primaire = qui détient a priori l'information (via un fichier de configuration ou une véritable BDD) et qui la diffuse
- secondaire = qui relaie l'information d'un primaire (disons comme un proxy HTTP avec cache)
alors aucun des serveurs DNS de SFR (ou Free ou Google Public DNS) n'est "primaire" : aucun de ces serveurs ne connait a priori tous les noms de domaine de l'Internet! Donc ces différents devraient être qualifiés de "secondaire" (si on tient à cette terminologie).
faut le prendre comme serveur 1 et serveur 2 ....
Tu peux prendre serveur 2 et serveur 1 aussi, ça ne change rien. Ces serveurs jouent des rôles strictement équivalents, et aucun des deux n'est plus "primaire" que l'autre.
-
Tu peux prendre serveur 2 et serveur 1 aussi, ça ne change rien. Ces serveurs jouent des rôles strictement équivalents, et aucun des deux n'est plus "primaire" que l'autre.
bien sur je le voyais comme serveur 1 défini par sfr (celui que la plupart vont mettre en premier) qui va prendre la plupart des requêtes
et serveur 2 comme serveur de secours en cas de défaillance du 1
bien sur que les deux sont pareil
juste un des deux qui est plus mis en avant que l'autre ;)
-
Je vous conseille plutôt http://www.opennicproject.org/ (http://www.opennicproject.org/) pour les serveur dns.
OpenDNS met de la pub de merde et des redirect partout, on ne sait pas non plus ce qu'ils feront des données.
Google ... j'en parle même pas, c'est probablement le pire, et même si ils se défendent d'utiliser les données, je ne vois pas comment on peut leur faire confience. Si ils le font aussi bien qu'ils pensent respecter la vie privé ....
http://www.opennicproject.org/ (http://www.opennicproject.org/) : c'est total neutralité, pas de pub ou redirect, la possibilité de lister l'ensemble des serveur dns possible, avec leurs politique de rétention, etc ...
Liste des serveurs DNS tier2 : http://wiki.opennicproject.org/Tier2 (http://wiki.opennicproject.org/Tier2)
-
Google ... j'en parle même pas, c'est probablement le pire, et même si ils se défendent d'utiliser les données, je ne vois pas comment on peut leur faire confience. Si ils le font aussi bien qu'ils pensent respecté la vie privé ....
En quoi Google ne respecte pas la vie privée autant qu'ils le peuvent?
-
On peut pas installer bind dans la neufbox ?
-
À quel point le système DNS est dimensionné pour que chaque abonné gère lui-même son DNS?
-
un truc que je suis pas sur d'avoir pigé correctement:
sur votre serveur local vous rapatriez l'ensemble des entrés DNS?
parce que sinon tu peux avoir un serveur dns local mais il est quand même bien obligé de transférer ses requêtes à d'autres serveurs pour pouvoir résoudre l'adresse d'un site externe
moi j'ai pas fait compliqué:
serveur local qui va chercher les infos sur le dns de mon FAI (orange), en cas de défaillance dns de google, ensuite root serveur
-
un truc que je suis pas sur d'avoir pigé correctement:
sur votre serveur local vous rapatriez l'ensemble des entrés DNS?
Je ne suis pas sûr de comprendre ce que tu entends par "rapatrier l'ensemble des entrés DNS".
On fait ce que fait dns1.proxad.net, ou google-public-dns-b.google.com.
serveur local qui va chercher les infos sur le dns de mon FAI (orange), en cas de défaillance dns de google, ensuite root serveur
Est-ce que les IP des services d'Orange sont les mêmes vu du DNS d'Orange et depuis le DNS de Google?
-
Je ne suis pas sûr de comprendre ce que tu entends par "rapatrier l'ensemble des entrés DNS".
On fait ce que fait dns1.proxad.net, ou google-public-dns-b.google.com.
justement je sais pas exactement comment ils marchent:
genre méga cache ils demandent aux root serveurs pour la première demande puis après la fournissent directement?
Est-ce que les IP des services d'Orange sont les mêmes vu du DNS d'Orange et depuis le DNS de Google?
pas toutes (notamment les interco google/orange justement ^^) mais de toutes façon c'est du secours, c'est mieux que d'avoir 0 résolution de nom si les dns d'orange sont HS.
-
justement je sais pas exactement comment ils marchent:
genre méga cache ils demandent aux root serveurs pour la première demande puis après la fournissent directement
Oui, il y a le principe du cache; notamment un seul "root server" sera interrogé seulement une fois (par serveur cache), pour obtenir la "root zone", un tout petit fichier décrivant les IP des serveurs permettant de commencer la résolution de nom.
Le rôle des root servers est minuscule! (mais essentiel).
-
moi j'ai pas fait compliqué:
serveur local qui va chercher les infos sur le dns de mon FAI (orange), en cas de défaillance dns de google, ensuite root serveur
C'est une erreur, un root serveur ne peux pas répondre à ta demande. Il est fait juste pour dialoguer avec des serveurs DNS qui vont lui demander l'IP pour .fr .com .net .info ,ect...
Le DNS est récursif : aucun serveur ne connais tout internet. Ils connaissent juste leur niveau.
Pour joindre lafibre.info sans utilise de cache, le serveur DNS de ton FAI (ou Google) s'adresse au root serveur pour savoir qui gère le .info
Il va ensuite demander a ce serveur qui gère lafibre.info
Le serveur interroge alors le serveur qui gère lafibre.info (serveur DNS chez OVH chez qui j'ai enregistré le nom de domaine) pour lui demander l'IP du serveur web.
-
vivien, je trouve que tu n'es pas très clair : le DNS est hiérarchique et non "récursif" : pour trouver l'adresse de x.y.z, on recherche le responsable pour "z.", puis le responsable pour "y.z.", puis le responsable pour "x.y.z.".
Pour aller quelque part, il faut partir d'un point connu.
Voici l'ancre de la recherche DNS :
http://www.internic.net/zones/named.root (http://www.internic.net/zones/named.root)
; This file holds the information on root name servers needed to
; initialize cache of Internet domain name servers
; (e.g. reference this file in the "cache . <file>"
; configuration file of BIND domain name servers).
;
; This file is made available by InterNIC
; under anonymous FTP as
; file /domain/named.cache
; on server FTP.INTERNIC.NET
; -OR- RS.INTERNIC.NET
;
; last update: Jan 3, 2013
; related version of root zone: 2013010300
;
; formerly NS.INTERNIC.NET
;
. 3600000 IN NS A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
A.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:BA3E::2:30
;
; FORMERLY NS1.ISI.EDU
;
. 3600000 NS B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201
;
; FORMERLY C.PSI.NET
;
. 3600000 NS C.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12
;
; FORMERLY TERP.UMD.EDU
;
. 3600000 NS D.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET. 3600000 A 199.7.91.13
D.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:2D::D
;
; FORMERLY NS.NASA.GOV
;
. 3600000 NS E.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10
;
; FORMERLY NS.ISC.ORG
;
. 3600000 NS F.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241
F.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:2F::F
;
; FORMERLY NS.NIC.DDN.MIL
;
. 3600000 NS G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4
;
; FORMERLY AOS.ARL.ARMY.MIL
;
. 3600000 NS H.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53
H.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:1::803F:235
;
; FORMERLY NIC.NORDU.NET
;
. 3600000 NS I.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17
I.ROOT-SERVERS.NET. 3600000 AAAA 2001:7FE::53
;
; OPERATED BY VERISIGN, INC.
;
. 3600000 NS J.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET. 3600000 A 192.58.128.30
J.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:C27::2:30
;
; OPERATED BY RIPE NCC
;
. 3600000 NS K.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129
K.ROOT-SERVERS.NET. 3600000 AAAA 2001:7FD::1
;
; OPERATED BY ICANN
;
. 3600000 NS L.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET. 3600000 A 199.7.83.42
L.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:3::42
;
; OPERATED BY WIDE
;
. 3600000 NS M.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33
M.ROOT-SERVERS.NET. 3600000 AAAA 2001:DC3::35
; End of FileCe fichier rend joignables les "root servers" sur l'Internet v4 ou v6, ce qui permet de démarrer la recherche.
Un serveur pouvant être un ensemble de serveurs répartis sur une adresse anycast (de la même façon que les deux IP de Google 8.8.8.8 et 8.8.4.4), il y a 374 en tout. N'importe lequel de ces serveurs joue le même rôle : distribuer la zone racine :
http://www.internic.net/domain/root.zone (http://www.internic.net/domain/root.zone)
. 86400 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2013082601 1800 900 604800 86400
. 86400 IN RRSIG SOA 8 0 86400 20130902000000 20130825230000 49656 . tFzHaaiit4WkT7LGz1vVcujO00gzRUgYx5hx1UtvsWRP95PYnXBJ2vBZkWVClkLFdRyJbZyfAxybw3y2JCspiYrCQVZsW5yBKKN9iC5GbLhsSBHat737YfA3tNz5HCyGdcEnTephRxa0lYrRLWvWioBK/I56KcljsAGR/Qyn6l8=
. 518400 IN NS a.root-servers.net.
. 518400 IN NS b.root-servers.net.
. 518400 IN NS c.root-servers.net.
. 518400 IN NS d.root-servers.net.
. 518400 IN NS e.root-servers.net.
. 518400 IN NS f.root-servers.net.
. 518400 IN NS g.root-servers.net.
. 518400 IN NS h.root-servers.net.
. 518400 IN NS i.root-servers.net.
. 518400 IN NS j.root-servers.net.
. 518400 IN NS k.root-servers.net.
. 518400 IN NS l.root-servers.net.
. 518400 IN NS m.root-servers.net.
. 518400 IN RRSIG NS 8 0 518400 20130902000000 20130825230000 49656 . NKn/w6Cn2zLUK6uu0Z+pm7O3S3zeITlAGVXKta+5y3yUDQQgfOa18cK50NS6B2XOlnZfHxt1Ag8m3ODf350aoRbeMfjhC/vrG5h+CxGRLJS12Tzx04+Jq8wfMGMO2KbxtXwrzsCgmdTHKGXG6CT9kX+38nkRvXMDeRhqSMf0H2o=
. 172800 IN DNSKEY 256 3 8 AwEAAcFTyWsmpTs49Q0FKVepUqft+7+c3elhdsfh+amh+orgWLcitLM1bBBiWe6eymWW0EakLZAG4tej28tyx4f+j37Q9VX+m5NAhO/Y0riQonVWfzxLGymx3Ti5x/x7VKvF5Y5hf5OWv2J7pvEumYFFCtu4glit9T9J85+i3UgqSHqf
. 172800 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
. 172800 IN RRSIG DNSKEY 8 0 172800 20130903235959 20130820000000 19036 . fGmWbtROfDQ5bFTrhIQDesRvY2viY1/7Qzg7WHHH8g78QONdl33t10P9rSHwjN2JdgZ3Jbnwu/2LOFCKpwV5Ei5w9A3oUW5jcq/wnC/oKSVfvoHJ4zzJ/11KCMi1sGVUwHRf2BeNMvf8Kjpb59oUMx85NjWkIxlZYZDsC/cemeRcm1aaYrzIAS+rxck8Wmx9+1cEz/KF/w2C0sZSiMJL52Jda5XBv/24obY1NLlUHTNIQVxktAS6e5bPtHNve4zbb0YGI0QUbtIO6Bh56CoE5vnHo5bDdBY6Kdo9VOlZd4AGm1Nw9z2HLyftJanqGd495azQ6uLV6x9QN6LZ4WBVwg==
. 86400 IN NSEC ac. NS SOA RRSIG NSEC DNSKEY
. 86400 IN RRSIG NSEC 8 0 86400 20130902000000 20130825230000 49656 . AnchuEFz3VJQD2cD7B/fMF7kCb44fyw7g4HOnF2Wsm35uVE75yexb4OgX3Bfk5W36NIfMO9KqFVGsx76Hb8Ww8eBpKHwESZHLvDsD1FnLuQKH4rRsObWAL99/kHS2uNPiheZj1RpiNHvz1uAX8+SelxCwWxxUMWdgr8Q2SYw0kQ=
ac. 172800 IN NS a.nic.ac.
ac. 172800 IN NS a.ns13.net.
ac. 172800 IN NS b.nic.ac.
ac. 172800 IN NS b.nic.io.
ac. 172800 IN NS b.ns13.net.
ac. 172800 IN NS ns1.communitydns.net.
ac. 172800 IN NS ns3.icb.co.uk.
AC. 86400 IN DS 14403 7 1 3884DE2E920F38E01B659CC5F37B6749BB0DC818
AC. 86400 IN DS 14403 7 2 584BCEE9B917FC92AFBDD0FC8AF12AB31B3A7B0754894688DA3C57F5CA7D8E56
AC. 86400 IN RRSIG DS 8 1 86400 20130902000000 20130825230000 49656 . nNNV+87+Wk2k4JA6lCdoB+8kQQjsKBC5VJHmdJKyEl8LzppB8PUwePjr9rZy+EUiTUpusShy+O4YKSKqEbbZdRVfTj6O1V4R7ONzn1zBTX1DsA7JGP7/Y2ZSy9waP+S9PbaDAkL+06XPTXdt8OHlR1Wm8X+hHssE1K9XbCUrRCg=
a.nic.ac. 172800 IN A 64.251.31.177
b.nic.ac. 172800 IN A 78.104.145.37
ac. 86400 IN NSEC ad. NS DS RRSIG NSEC
ac. 86400 IN RRSIG NSEC 8 1 86400 20130902000000 20130825230000 49656 . YUGOfK9tx4X2uTqu0lBJd2AVzthFOvCLTREkObL8enOmEHQMQcKHctKPjFMBiX28Cf6W0uvEAhNKOHU1uj8WbJV3PXDQTjckS7+HUHrlJHzA1EDCOoI/ov+WgHpDfeQMRxcovJwIIgrsb7kHZwD9cJZiPcHpsBQjdszQwK2swRQ=
ad. 172800 IN NS ad.ns.nic.es.
ad. 172800 IN NS ad.cctld.authdns.ripe.net.
ad. 172800 IN NS ns3.nic.fr.
ad. 172800 IN NS dnsc.ad.
ad. 172800 IN NS dnsm.ad.
ad. 172800 IN NS ns-ext.isc.org.
dnsc.ad. 172800 IN A 194.158.74.10
dnsc.ad. 172800 IN AAAA 2a02:8060:32fa:0:0:0:0:b
dnsm.ad. 172800 IN A 194.158.74.9
dnsm.ad. 172800 IN AAAA 2a02:8060:32fa:0:0:0:0:a
ad. 86400 IN NSEC ae. NS RRSIG NSEC
ad. 86400 IN RRSIG NSEC 8 1 86400 20130902000000 20130825230000 49656 . EFCtB8UiJJbrLGQBdM6ncbIX0o384U6hLrp1hF+vjFLMJ9QYNjdYsg05NIaaRmMoHBn4Dr9Zb6+MIOe8xhmBNLIzWG2IVtcevGX2A7S0xjRbMrGf11VhsuZ7/hAraN1/5t5sDIXpmkZ51LWKp8pac6MpbAb6HuGMs9geLFXEWjU=
ae. 172800 IN NS ae.cctld.authdns.ripe.net.
ae. 172800 IN NS ns1.aedns.ae.
ae. 172800 IN NS ns2.aedns.ae.
ae. 172800 IN NS sec3.apnic.net.
ae. 172800 IN NS sns-pb.isc.org.
ae. 172800 IN NS nsext-pch.aedns.ae.
ns1.aedns.ae. 172800 IN A 79.98.120.73
ns2.aedns.ae. 172800 IN A 79.98.121.73
nsext-pch.aedns.ae. 172800 IN A 199.4.137.1
nsext-pch.aedns.ae. 172800 IN AAAA 2001:500:7d:0:0:0:0:1
ns1.uaenic.ae. 172800 IN A 213.42.0.226
ns2.uaenic.ae. 172800 IN A 195.229.0.186
ae. 86400 IN NSEC aero. NS RRSIG NSEC
ae. 86400 IN RRSIG NSEC 8 1 86400 20130902000000 20130825230000 49656 . vDkQ4YqSiVtc+MfS+PauzV12jd2lkz5ITeyqq5I/s+CS4hsG81FbFkvxzENnA37i1+ILthjqHle/syNdvzOZitFZMwJryNovDnK3qIu7r21pZTmX9d1GnhioX4EZMd25kgiZFhtbCdTAnUOUfDALx1R+kqQYM2O0UV4VrNDte4I=
aero. 172800 IN NS a0.aero.afilias-nst.info.
aero. 172800 IN NS a2.aero.afilias-nst.info.
aero. 172800 IN NS b0.aero.afilias-nst.org.
aero. 172800 IN NS b2.aero.afilias-nst.org.
aero. 172800 IN NS c0.aero.afilias-nst.info.
aero. 172800 IN NS d0.aero.afilias-nst.org.
aero. 172800 IN NS ns2.switch.ch.
aero. 172800 IN NS ns5.knipp.de.
aero. 172800 IN NS dns7.denic.de.
aero. 86400 IN NSEC af. NS RRSIG NSEC
aero. 86400 IN RRSIG NSEC 8 1 86400 20130902000000 20130825230000 49656 . eDYV5KQkl03kG82gsKP99T1+KZiNuzm2Z8HyWAYhn1cJMZBCovB3TZSASAS4BdISOQTU4uRjSkmRjXeBf34JIW2hTlVoV9XbaF6lOAEgeBeAy4dlhnoO9U3GkXiqr0wLLMB4wtqHOiWpmRJ2b9j4cGKr0VX/u6dD0BAOpMsg9u4=
etc.
-
j'utilise un Windows server 2012 pour le dns (ça fait un peu bazooka pour flinguer une mouche mais bon)
tu as deux types de possibilités (de mémoire):
les serveur redirecteurs: pour moi les dns orange et google
et les serveurs root: qui sont donc utilisés comme le décrit corrector
si aucun des redirecteurs ne répond on passe sur les root (enfin d'après ce que j'ai compris)
et juste avec les root serveurs ça marche très bien!
après ce n'est peut être pas optimal comme config.
-
On dit 'récursif' par abus de langage parce que le resolver (le serveur qui va résoudre la demande) fait un récursion pour résoudre l’adresse.
Mais effectivement tout ce passe sur le resolver, les autres serveurs impliqués 'plus en amont' ne font pas de récursion sinon ils satureraient rapidement.
Il n'y a donc pas propagation d'un traitement.
Pour résoudre a.b.c.d, le resolver resout en 1er "d" avec en regardant dans la root zone pour savoir a qui demander. Il demande au serveur qui gere "d" l’adresse d'un serveur qui gère "c.d" puis demande a celui ci l'adresse d'un serveur qui gère "b.c.d" et finalement demande a ce dernier l'adresse de "a".
Dans le cas présent, il y'a 3 serveurs "parents" impliqués (un pour d, un pour c et un pour b) mais eux ne font pas récursion, il répondent immédiatement.
On distingue plusieurs 'types/roles' de serveurs DNS:
authoritative : qui contient les entrées pour une ou plusieurs zones ("d","c.d", "b.c.d" sont des zones).
resolver : qui sait resoudre de facon recursive une adresse
cache: qui memorise les valeurs
forwarder : qui propage la demande a autre serveur dns (s'il ne fait que ca on dit un "stub forwarder"). on dit relai DNS souvent aussi.
Pour un particulier, le meilleur serveur DNS est celui qui met le moins de temps a rendre une réponse. Latence et taux de réussite du cache sont les 2 facteurs clés.
Dans 99,9% des cas le mieux c'est la box du FAI. C'est en général un 'cache & forwarder' qui 'forward' sur des gros caches qui eux même sont des resolvers ou juste des forwardersvers des resolvers dédiés (je ne sais pas comment les FAI francais font, surement du simple je pense). La box peut aussi etre serveur DNS authoritative pour le domaine local (.lan, ou .local par défaut chez certains FAI).
Pour avoir l'ip du serveur qui fait effectivement la résolution pour vous, faite un dig whoami.akamai.net a +short (répéter plusieurs fois, il peut y avoir plusieurs réponses)
ou un dig whoami.akamai.net a @x.y.z.t +short pour savoir qui fait la résolution pour le serveur DNS x.y.z.t (ou connaitre son adresse réelle dans le cas d'un anycast par exemple).
-
tu as deux types de possibilités (de mémoire):
les serveur redirecteurs: pour moi les dns orange et google
Tu veux dire proxy?
et les serveurs root: qui sont donc utilisés comme le décrit corrector
si aucun des redirecteurs ne répond on passe sur les root (enfin d'après ce que j'ai compris)
et juste avec les root serveurs ça marche très bien!
Heu non, ce n'est pas possible de juste interroger les serveurs racines.
Les serveurs racines ne font que répondre sur la zone racine dont j'ai posté le début. Ils ne font que donne l'adresse du responsable : tu vas au bureau d'information et tu dis "je voudrais telle information", et on te dit "adressez-vous à tel autre bureau d'information". Tu vas de bureau d'information en bureau d'information jusqu'à trouver celui qui a l'information.
Mais en aucun cas un client ne va interroger un relais DNS (ou resolveur DNS) puis un DNS racine : si dns2.proxad.fr me donne une réponse négative sur une requête, mon navigateur va m'afficher un message d'erreur. Si dns2.proxad.fr ne me répond pas, je vais réinterroger dns2.proxad.fr.
-
Pour un particulier, le meilleur serveur DNS est celui qui met le moins de temps a rendre une réponse. Latence et taux de réussite du cache sont les 2 facteurs clés.
Dans 99,9% des cas le mieux c'est la box du FAI. C'est en général un 'cache & forwarder' qui 'forward' sur des gros caches qui eux même sont des resolvers ou juste des forwardersvers des resolvers dédiés (je ne sais pas comment les FAI francais font, surement du simple je pense). La box peut aussi etre serveur DNS authoritative pour le domaine local (.lan, ou .local par défaut chez certains FAI).
Les Freebox jusqu'à v5 ne proposent rien pour le DNS.
La Freebox ution propose un simple forwarder sans cache, avec option fausses réponses sur les domaines trop méchants avec Free (donc Adsense...).
-
Pour avoir l'ip du serveur qui fait effectivement la résolution pour vous, faite un dig whoami.akamai.net a +short (répéter plusieurs fois, il peut y avoir plusieurs réponses)
ou un dig whoami.akamai.net a @x.y.z.t +short pour savoir qui fait la résolution pour le serveur DNS x.y.z.t (ou connaitre son adresse réelle dans le cas d'un anycast par exemple).
Par exemple, chez Free à Paris :
> whoami.akamai.net
Serveur : dns2.proxad.net
Address: 212.27.40.241:53
Réponse ne faisant pas autorité :
Nom : whoami.akamai.net
Address: 213.228.58.25
En réesseyant plusieurs fois, j'obtiens :
213.228.58.151
213.228.58.147
213.228.58.145
ce qui semble indiquer un pool de serveurs derrière une seule adresse IP (linux virtual servers?).
Avec Google :
Serveur : google-public-dns-b.google.com
Address: 8.8.4.4:53
Réponse ne faisant pas autorité :
Nom : whoami.akamai.net
Address: 74.125.17.82
ou 74.125.17.148
D'autres abonnés d'un même FAI peuvent avoir des résultats différents selon le routage.
-
j'utilise un Windows server 2012 pour le dns (ça fait un peu bazooka pour flinguer une mouche mais bon)
Ok, excuse moi, je pensais que tu rentrais directement l'IP d'un serveur root dans un client Windows.
-
Les Freebox jusqu'à v5 ne proposent rien pour le DNS.
La Freebox ution propose un simple forwarder sans cache, avec option fausses réponses sur les domaines trop méchants avec Free (donc Adsense...).
oui Free aime ne pas faire simple et efficace des fois :)
La plupart des box et routeurs grand public utilisent Dnsmasq (http://www.thekelleys.org.uk/dnsmasq/doc.html)qui fait d'une pierre 2 coups: serveur DHCP et serveur DNS cache/forwarder (voir meme serveur TFTP si on veut). Il est simple, léger niveau ressources et très efficace. Il est très utilisé donc le code est très au point.
A priori, la V6 l'utilise aussi (dixit floss.freebox.fr en tout cas), je suis surpris que le cache ne fonctionne pas par contre.
-
J'ai testé pour vous :
- Freebox révolution ADSL
- Neufbox v6 ADSL
- Bbox Sensaiton ADSL (Sagem)
- Bbox Sensation fibre (Samsung)
- Livebox Play (v3) (Sagem)
- DartyBox THD (Netgear)
Seul la neufbox de SFR à un cache DNS qui fonctionne
C'est simple a voir : vous lancez à la suite la même requête DNS et vous regardez le temps : dig lafibre.info | grep time
Comportement sans cache :
$ dig lafibre.info | grep time
;; Query time: 12 msec
$ dig lafibre.info | grep time
;; Query time: 11 msec
$ dig lafibre.info | grep time
;; Query time: 14 msec
$ dig lafibre.info | grep time
;; Query time: 11 msec
$ dig lafibre.info | grep time
;; Query time: 14 msec
Comportement avec cache actif (SFR) :
$ dig lafibre.info | grep time
;; Query time: 45 msec
$ dig lafibre.info | grep time
;; Query time: 1 msec
$ dig lafibre.info | grep time
;; Query time: 1 msec
$ dig lafibre.info | grep time
;; Query time: 1 msec
$ dig lafibre.info | grep time
;; Query time: 1 msec
$ dig lafibre.info | grep time
;; Query time: 1 msec
-
Est-ce toutes ces box permettent DNSSEC?
-
Heu non, ce n'est pas possible de juste interroger les serveurs racines.
Les serveurs racines ne font que répondre sur la zone racine dont j'ai posté le début. Ils ne font que donne l'adresse du responsable : tu vas au bureau d'information et tu dis "je voudrais telle information", et on te dit "adressez-vous à tel autre bureau d'information". Tu vas de bureau d'information en bureau d'information jusqu'à trouver celui qui a l'information.
Mais en aucun cas un client ne va interroger un relais DNS (ou resolveur DNS) puis un DNS racine : si dns2.proxad.fr me donne une réponse négative sur une requête, mon navigateur va m'afficher un message d'erreur. Si dns2.proxad.fr ne me répond pas, je vais réinterroger dns2.proxad.fr.
j'utilise le serveur dns de windows donc oui je fais la procédure que tu décris
et windows appel bien ce que tu défini comme un proxy un redirecteur:
les redirecteurs sont des serveurs DNS qui permettent à ce serveur de résoudre les requètes DNS liées aux enregistrements n'ayant pu être résolus
-
Est-ce toutes ces box permettent DNSSEC?
Comment vérifier?
-
Comment vérifier?
http://test.dnssec-or-not.com/ (http://test.dnssec-or-not.com/)
-
Pour vérifier que le résolveur n'interdit pas DNSSEC, ou qu'il utilise DNSSEC?
-
J'ai testé au moins une box par FAI et j'ai eu systématiquement "No, you are not using DNSSEC" (Y compris avec la Freebox v6, la livebox v3, la neufbox v6-ser-r2, la Bbox sensation, la box Netgear CG3700B de Numericable.
Qui a réussi à avoir un autre message ? Je me pose des questions sur mon environnement (Linux Ubuntu 13.04 64bits + Firefox 23 connecté en Ethernet avec la configuration IP via DHCP)
-
Tu as essayé DNSSEC Validator?
https://chrome.google.com/webstore/detail/dnssec-validator/hpmbmjbcmglolhjdcbicfdhmgmcoeknm
https://addons.mozilla.org/fr/firefox/addon/dnssec-validator/
-
Chez moi neufbox 6 FXC-r2 avec le plugin ça marche
-
Qui a réussi à avoir un autre message ? Je me pose des questions sur mon environnement (Linux Ubuntu 13.04 64bits + Firefox 23 connecté en Ethernet avec la configuration IP via DHCP)
Yes, you are using DNSSEC
nueva ~ # grep anchor /etc/unbound/unbound.conf |grep -v \#
auto-trust-anchor-file: "/etc/dnssec/root-anchors.txt"
nueva ~ # cat /etc/dnssec/root-anchors.txt
; autotrust trust anchor file
;;id: . 1
;;last_queried: 1377806761 ;;Thu Aug 29 22:06:01 2013
;;last_success: 1377806761 ;;Thu Aug 29 22:06:01 2013
;;next_probe_time: 1377848479 ;;Fri Aug 30 09:41:19 2013
;;query_failed: 0
;;query_interval: 43200
;;retry_time: 8640
. 172800 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= ;{id = 19036 (ksk), size = 2048b} ;;state=2 [ VALID ] ;;count=0 ;;lastchange=1316356526 ;;Sun Sep 18 16:35:26 2011
Cela marche ici avec un Unbound bien configuré.
-
Donc sans utiliser les DNS du FAI ?
(Unbound c'est un concurrent de bind9 si j'ai bien compris)
-
Donc sans utiliser les DNS du FAI ?
(Unbound c'est un concurrent de bind9 si j'ai bien compris)
Oui, je préfère utiliser mon propre resolver dns.
Unbound est un resolver DNS sachant faisant également cache DNS. Il ne peut pas être authorité sur une zone (au contraire du bind9 qui fait tout).
-
Très grosses latences sur 109.0.66.20/109.0.66.10 ce soir, parfois 30 secondes pour répondre à une requête. Je ne suis pas le seul concerné, d'après ce que j'ai vu sur IRC.
Ça va mieux en passant sur un autre serveur comme 8.8.8.8. Autrement, le surf web paraît fortement ralenti.
-
J'ajoute mon petit mot à cette discussion, car je crois que la remarque est pertinente.
J'ai une connexion SFR Fibre avec terminaison coaxiale. Ce que j'ai remarqué, et ce qui m'énerve, c'est que SFR pirate la résolution DNS en cas d'adresse de serveur non trouvée. Je m'explique. Dans les paramètres DHCP que mon ordi reçoit de la box, SFR ajoute son suffixe, à savoir "numericable.fr".
Alors, dès que l'on introduit le nom d'un serveur non-existant (p.e. abcd1234.fr), la requête sera changée en "abcd1234.fr.numericable.fr", qui ... surprise, va vous mener vers une page de publicité Numericable (voire exemple). A chaque fois... plus qu'énervant...
(http://i68.tinypic.com/5b60aw.jpg)
Alors, je ne vois pas trop comment je peux éviter cela. J'ai fouillé dans les paramètres de l'interface réseau (Windows), et il me semble impossible d'éviter que numericable ajoute son suffixe. Rien trouvé sur la box non plus (quelle surprise). Ou je me trompe? Seul contournement que j'ai trouvé, c'est de définir mon adresse IP en fixe. Ainsi, j'évite de reçevoir les paramètres DHCP de la box.
Y a-t-il encore d'autres solutions? Un hack dans le régistre peut-être?
Ps: le paramètre se trouve dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, mais il faut alors le supprimer à chaque démarrage de l'ordi, pas très pratique non plus.
-
SFR ne pirate rien du tout, ils ont juste un wildcard sur *.numéricable.fr
Et le comportement normal d'un OS qui ne trouve pas un hôte, c'est de chercher [hote].[domaine de recherche].
Comment régler le souci ? Taper des noms d'hôte qui existent :p
-
SFR pirate la recherche DNS en introduisant un domaine de recherche, ce qu'il ne doit pas faire.
-
Alors, je ne vois pas trop comment je peux éviter cela. J'ai fouillé dans les paramètres de l'interface réseau (Windows), et il me semble impossible d'éviter que numericable ajoute son suffixe.
Tu trouvera ton bonheur là dessous :
Dans connexions réseau ; Propriété sur le périphérique réseau ; Propriété sur Protocole Internet version 4 ; Bouton Avancé ; Onglet DNS
-
Donc sans utiliser les DNS du FAI ?
(Unbound c'est un concurrent de bind9 si j'ai bien compris)
Il y a meme pas de "concours". Bind9 est une vieille merde super mal ecrite et remplis de bugs qui en plus ne fait pas la difference entre Autoritaire et Resolveur.
-
Dans connexions réseau ; Propriété sur le périphérique réseau ; Propriété sur Protocole Internet version 4 ; Bouton Avancé ; Onglet DNS
Non, car la config par défaut est "Append primary and connection specific DNS suffixes". L'ordi ajoute donc automatiquement les suffixes qu'il reçoit du serveur DHCP, l'utilisateur ne peut pas y intervenir autre qu'en supprimant la clé dans le régistre.
Quand on veut en introduire manuellement, il faut obligatoirement saisir une valeur, le champ ne peut pas être vide.
-
SFR pirate la recherche DNS en introduisant un domaine de recherche, ce qu'il ne doit pas faire.
Selon quoi ? Tu es sur le réseau numéricable.fr, tu peux donc ajouter le domaine de recherche correpondant.
Chez moi, mon DHCP répond avec le domaine de recherche "milkywan.xyz", tout pareil.
-
Il y a meme pas de "concours". Bind9 est une vieille merde super mal ecrite et remplis de bugs qui en plus ne fait pas la difference entre Autoritaire et Resolveur.
Dédicace à Paul Vixie qui a propagé des accusations délirantes de communications secrètes entre Trump et une banque russe.
-
Selon quoi ? Tu es sur le réseau numéricable.fr, tu peux donc ajouter le domaine de recherche correpondant.
Chez moi, mon DHCP répond avec le domaine de recherche "milkywan.xyz", tout pareil.
Selon la Raison.
-
Le souci ce n'est pas de modifier le domaine de recherche, c'est de foutre des wildcard dans les DNS qui est mal.
-
Dédicace à Paul Vixie qui a propagé des accusations délirantes de communications secrètes entre Trump et une banque russe.
Ouais il est completement bidon ce gars.
"Vous etes nuls parce que vous utilisez gmail alors qu'il faudrait que vous mettiez en place votre propre serveur de mail parce que c'est la decentralisation mais par contre n'oubliez pas de filtrer votre serveur avec Spamhaus".
-
Le souci ce n'est pas de modifier le domaine de recherche, c'est de foutre des wildcard dans les DNS qui est mal.
C'est la combinaison des deux!
-
Solution 2 : Utiliser le relai DNS de la Neufbox
DNS Primaire : 192.168.1.1
DNS Secondaire : laisser vide
Cette solution permet de faire fonctionner les noms de domaine géré par la Neufbox
Peux-tu en dire plus sur cette histoire de "noms de domaines gérés par la neufbox" ?
-
En fait j'ai un souci avec le paramétrage des DNS entre la NeufBox 6 et un ordi sous W8. Sur la page "DNS local" de l'interface de la box j'ai ajouté deux entrées, l'une vers un site internet bloqué par les DNS SFR, l'autre pour une machine sur mon LAN :
104.18.46.34 skstream.info
192.168.1.20 foo
Depuis mon Mac c'est OK : "ping foo" et "ping skstream.info" répondent tous les deux.
Par contre depuis un PC W8, "ping skstream.info" répond (donc le PC interroge bien le serveur de la NB6) mais pas "ping foo". Dans les paramètres DNS du PC c'est bien "obtenir les adresses des serveurs DNS automatiquement" qui est coché.
Une idée du pourquoi ?
-
Tu as essayé de faire ping foo. au lieu de ping foo (rajouter un . après "foo") ?
-
Tu as essayé de faire ping foo. au lieu de ping foo (rajouter un . après "foo") ?
Ah oui, ça marche ! Une explication ?
-
Dans les normes, les FQDN terminent par un point :)
Selon ton os, tu peux feinter et lui dire de toujours rajouter un . à la fin de tes requêtes...