Auteur Sujet: Les DNS primaire et secondaire de SFR  (Lu 239810 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
Les DNS primaire et secondaire de SFR
« Réponse #12 le: 27 août 2013 à 14:24:51 »
Google ... j'en parle même pas, c'est probablement le pire, et même si ils se défendent d'utiliser les données, je ne vois pas comment on peut leur faire confience. Si ils le font aussi bien qu'ils pensent respecté la vie privé ....
En quoi Google ne respecte pas la vie privée autant qu'ils le peuvent?

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
Les DNS primaire et secondaire de SFR
« Réponse #13 le: 27 août 2013 à 14:27:26 »
On peut pas installer bind dans la neufbox ?

corrector

  • Invité
Les DNS primaire et secondaire de SFR
« Réponse #14 le: 27 août 2013 à 15:48:50 »
À quel point le système DNS est dimensionné pour que chaque abonné gère lui-même son DNS?

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 605
  • FTTH orange
Les DNS primaire et secondaire de SFR
« Réponse #15 le: 27 août 2013 à 16:11:06 »
un truc que je suis pas sur d'avoir pigé correctement:
sur votre serveur local vous rapatriez l'ensemble des entrés DNS?

parce que sinon tu peux avoir un serveur dns local mais il est quand même bien obligé de transférer ses requêtes à d'autres serveurs pour pouvoir résoudre l'adresse d'un site externe

moi j'ai pas fait compliqué:
serveur local qui va chercher les infos sur le dns de mon FAI (orange), en cas de défaillance dns de google, ensuite root serveur

corrector

  • Invité
Les DNS primaire et secondaire de SFR
« Réponse #16 le: 27 août 2013 à 16:36:22 »
un truc que je suis pas sur d'avoir pigé correctement:
sur votre serveur local vous rapatriez l'ensemble des entrés DNS?
Je ne suis pas sûr de comprendre ce que tu entends par "rapatrier l'ensemble des entrés DNS".

On fait ce que fait dns1.proxad.net, ou google-public-dns-b.google.com.

serveur local qui va chercher les infos sur le dns de mon FAI (orange), en cas de défaillance dns de google, ensuite root serveur
Est-ce que les IP des services d'Orange sont les mêmes vu du DNS d'Orange et depuis le DNS de Google?

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 605
  • FTTH orange
Les DNS primaire et secondaire de SFR
« Réponse #17 le: 27 août 2013 à 16:43:27 »
Je ne suis pas sûr de comprendre ce que tu entends par "rapatrier l'ensemble des entrés DNS".

On fait ce que fait dns1.proxad.net, ou google-public-dns-b.google.com.

justement je sais pas exactement comment ils marchent:
genre méga cache ils demandent aux root serveurs pour la première demande puis après la fournissent directement?

Est-ce que les IP des services d'Orange sont les mêmes vu du DNS d'Orange et depuis le DNS de Google?

pas toutes (notamment les interco google/orange justement ^^) mais de toutes façon c'est du secours, c'est mieux que d'avoir 0 résolution de nom si les dns d'orange sont HS.

corrector

  • Invité
Les DNS primaire et secondaire de SFR
« Réponse #18 le: 27 août 2013 à 18:01:02 »
justement je sais pas exactement comment ils marchent:
genre méga cache ils demandent aux root serveurs pour la première demande puis après la fournissent directement
Oui, il y a le principe du cache; notamment un seul "root server" sera interrogé seulement une fois (par serveur cache), pour obtenir la "root zone", un tout petit fichier décrivant les IP des serveurs permettant de commencer la résolution de nom.

Le rôle des root servers est minuscule! (mais essentiel).

vivien

  • Administrateur
  • *
  • Messages: 46 994
    • Twitter LaFibre.info
Les DNS primaire et secondaire de SFR
« Réponse #19 le: 27 août 2013 à 18:55:27 »
moi j'ai pas fait compliqué:
serveur local qui va chercher les infos sur le dns de mon FAI (orange), en cas de défaillance dns de google, ensuite root serveur
C'est une erreur, un root serveur ne peux pas répondre à ta demande. Il est fait juste pour dialoguer avec des serveurs DNS qui vont lui demander l'IP pour .fr .com .net .info ,ect...

Le DNS est récursif : aucun serveur ne connais tout internet. Ils connaissent juste leur niveau.

Pour joindre lafibre.info sans utilise de cache, le serveur DNS de ton FAI (ou Google) s'adresse au root serveur pour savoir qui gère le .info

Il va ensuite demander a ce serveur qui gère lafibre.info

Le serveur interroge alors le serveur qui gère lafibre.info (serveur DNS chez OVH chez qui j'ai enregistré le nom de domaine) pour lui demander l'IP du serveur web.

corrector

  • Invité
Les DNS primaire et secondaire de SFR
« Réponse #20 le: 27 août 2013 à 19:53:00 »
vivien, je trouve que tu n'es pas très clair : le DNS est hiérarchique et non "récursif" : pour trouver l'adresse de x.y.z, on recherche le responsable pour "z.", puis le responsable pour "y.z.", puis le responsable pour "x.y.z.".

Pour aller quelque part, il faut partir d'un point connu.

Voici l'ancre de la recherche DNS :

http://www.internic.net/zones/named.root
;       This file holds the information on root name servers needed to
;       initialize cache of Internet domain name servers
;       (e.g. reference this file in the "cache  .  <file>"
;       configuration file of BIND domain name servers).
;
;       This file is made available by InterNIC
;       under anonymous FTP as
;           file                /domain/named.cache
;           on server           FTP.INTERNIC.NET
;       -OR-                    RS.INTERNIC.NET
;
;       last update:    Jan 3, 2013
;       related version of root zone:   2013010300
;
; formerly NS.INTERNIC.NET
;
.                        3600000  IN  NS    A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET.      3600000      A     198.41.0.4
A.ROOT-SERVERS.NET.      3600000      AAAA  2001:503:BA3E::2:30
;
; FORMERLY NS1.ISI.EDU
;
.                        3600000      NS    B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET.      3600000      A     192.228.79.201
;
; FORMERLY C.PSI.NET
;
.                        3600000      NS    C.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET.      3600000      A     192.33.4.12
;
; FORMERLY TERP.UMD.EDU
;
.                        3600000      NS    D.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET.      3600000      A     199.7.91.13
D.ROOT-SERVERS.NET. 3600000      AAAA  2001:500:2D::D
;
; FORMERLY NS.NASA.GOV
;
.                        3600000      NS    E.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET.      3600000      A     192.203.230.10
;
; FORMERLY NS.ISC.ORG
;
.                        3600000      NS    F.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET.      3600000      A     192.5.5.241
F.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:2F::F
;
; FORMERLY NS.NIC.DDN.MIL
;
.                        3600000      NS    G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET.      3600000      A     192.112.36.4
;
; FORMERLY AOS.ARL.ARMY.MIL
;
.                        3600000      NS    H.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET.      3600000      A     128.63.2.53
H.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:1::803F:235
;
; FORMERLY NIC.NORDU.NET
;
.                        3600000      NS    I.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET.      3600000      A     192.36.148.17
I.ROOT-SERVERS.NET.      3600000      AAAA  2001:7FE::53
;
; OPERATED BY VERISIGN, INC.
;
.                        3600000      NS    J.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET.      3600000      A     192.58.128.30
J.ROOT-SERVERS.NET.      3600000      AAAA  2001:503:C27::2:30
;
; OPERATED BY RIPE NCC
;
.                        3600000      NS    K.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET.      3600000      A     193.0.14.129
K.ROOT-SERVERS.NET.      3600000      AAAA  2001:7FD::1
;
; OPERATED BY ICANN
;
.                        3600000      NS    L.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET.      3600000      A     199.7.83.42
L.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:3::42
;
; OPERATED BY WIDE
;
.                        3600000      NS    M.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET.      3600000      A     202.12.27.33
M.ROOT-SERVERS.NET.      3600000      AAAA  2001:DC3::35
; End of File
Ce fichier rend joignables les "root servers" sur l'Internet v4 ou v6, ce qui permet de démarrer la recherche.

Un serveur pouvant être un ensemble de serveurs répartis sur une adresse anycast (de la même façon que les deux IP de Google 8.8.8.8 et 8.8.4.4), il y a 374 en tout. N'importe lequel de ces serveurs joue le même rôle : distribuer la zone racine :
http://www.internic.net/domain/root.zone
. 86400 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2013082601 1800 900 604800 86400
. 86400 IN RRSIG SOA 8 0 86400 20130902000000 20130825230000 49656 . tFzHaaiit4WkT7LGz1vVcujO00gzRUgYx5hx1UtvsWRP95PYnXBJ2vBZkWVClkLFdRyJbZyfAxybw3y2JCspiYrCQVZsW5yBKKN9iC5GbLhsSBHat737YfA3tNz5HCyGdcEnTephRxa0lYrRLWvWioBK/I56KcljsAGR/Qyn6l8=
. 518400 IN NS a.root-servers.net.
. 518400 IN NS b.root-servers.net.
. 518400 IN NS c.root-servers.net.
. 518400 IN NS d.root-servers.net.
. 518400 IN NS e.root-servers.net.
. 518400 IN NS f.root-servers.net.
. 518400 IN NS g.root-servers.net.
. 518400 IN NS h.root-servers.net.
. 518400 IN NS i.root-servers.net.
. 518400 IN NS j.root-servers.net.
. 518400 IN NS k.root-servers.net.
. 518400 IN NS l.root-servers.net.
. 518400 IN NS m.root-servers.net.
. 518400 IN RRSIG NS 8 0 518400 20130902000000 20130825230000 49656 . NKn/w6Cn2zLUK6uu0Z+pm7O3S3zeITlAGVXKta+5y3yUDQQgfOa18cK50NS6B2XOlnZfHxt1Ag8m3ODf350aoRbeMfjhC/vrG5h+CxGRLJS12Tzx04+Jq8wfMGMO2KbxtXwrzsCgmdTHKGXG6CT9kX+38nkRvXMDeRhqSMf0H2o=
. 172800 IN DNSKEY 256 3 8 AwEAAcFTyWsmpTs49Q0FKVepUqft+7+c3elhdsfh+amh+orgWLcitLM1bBBiWe6eymWW0EakLZAG4tej28tyx4f+j37Q9VX+m5NAhO/Y0riQonVWfzxLGymx3Ti5x/x7VKvF5Y5hf5OWv2J7pvEumYFFCtu4glit9T9J85+i3UgqSHqf
. 172800 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
. 172800 IN RRSIG DNSKEY 8 0 172800 20130903235959 20130820000000 19036 . fGmWbtROfDQ5bFTrhIQDesRvY2viY1/7Qzg7WHHH8g78QONdl33t10P9rSHwjN2JdgZ3Jbnwu/2LOFCKpwV5Ei5w9A3oUW5jcq/wnC/oKSVfvoHJ4zzJ/11KCMi1sGVUwHRf2BeNMvf8Kjpb59oUMx85NjWkIxlZYZDsC/cemeRcm1aaYrzIAS+rxck8Wmx9+1cEz/KF/w2C0sZSiMJL52Jda5XBv/24obY1NLlUHTNIQVxktAS6e5bPtHNve4zbb0YGI0QUbtIO6Bh56CoE5vnHo5bDdBY6Kdo9VOlZd4AGm1Nw9z2HLyftJanqGd495azQ6uLV6x9QN6LZ4WBVwg==
. 86400 IN NSEC ac. NS SOA RRSIG NSEC DNSKEY
. 86400 IN RRSIG NSEC 8 0 86400 20130902000000 20130825230000 49656 . AnchuEFz3VJQD2cD7B/fMF7kCb44fyw7g4HOnF2Wsm35uVE75yexb4OgX3Bfk5W36NIfMO9KqFVGsx76Hb8Ww8eBpKHwESZHLvDsD1FnLuQKH4rRsObWAL99/kHS2uNPiheZj1RpiNHvz1uAX8+SelxCwWxxUMWdgr8Q2SYw0kQ=
ac. 172800 IN NS a.nic.ac.
ac. 172800 IN NS a.ns13.net.
ac. 172800 IN NS b.nic.ac.
ac. 172800 IN NS b.nic.io.
ac. 172800 IN NS b.ns13.net.
ac. 172800 IN NS ns1.communitydns.net.
ac. 172800 IN NS ns3.icb.co.uk.
AC. 86400 IN DS 14403 7 1 3884DE2E920F38E01B659CC5F37B6749BB0DC818
AC. 86400 IN DS 14403 7 2 584BCEE9B917FC92AFBDD0FC8AF12AB31B3A7B0754894688DA3C57F5CA7D8E56
AC. 86400 IN RRSIG DS 8 1 86400 20130902000000 20130825230000 49656 . nNNV+87+Wk2k4JA6lCdoB+8kQQjsKBC5VJHmdJKyEl8LzppB8PUwePjr9rZy+EUiTUpusShy+O4YKSKqEbbZdRVfTj6O1V4R7ONzn1zBTX1DsA7JGP7/Y2ZSy9waP+S9PbaDAkL+06XPTXdt8OHlR1Wm8X+hHssE1K9XbCUrRCg=
a.nic.ac. 172800 IN A 64.251.31.177
b.nic.ac. 172800 IN A 78.104.145.37
ac. 86400 IN NSEC ad. NS DS RRSIG NSEC
ac. 86400 IN RRSIG NSEC 8 1 86400 20130902000000 20130825230000 49656 . YUGOfK9tx4X2uTqu0lBJd2AVzthFOvCLTREkObL8enOmEHQMQcKHctKPjFMBiX28Cf6W0uvEAhNKOHU1uj8WbJV3PXDQTjckS7+HUHrlJHzA1EDCOoI/ov+WgHpDfeQMRxcovJwIIgrsb7kHZwD9cJZiPcHpsBQjdszQwK2swRQ=
ad. 172800 IN NS ad.ns.nic.es.
ad. 172800 IN NS ad.cctld.authdns.ripe.net.
ad. 172800 IN NS ns3.nic.fr.
ad. 172800 IN NS dnsc.ad.
ad. 172800 IN NS dnsm.ad.
ad. 172800 IN NS ns-ext.isc.org.
dnsc.ad. 172800 IN A 194.158.74.10
dnsc.ad. 172800 IN AAAA 2a02:8060:32fa:0:0:0:0:b
dnsm.ad. 172800 IN A 194.158.74.9
dnsm.ad. 172800 IN AAAA 2a02:8060:32fa:0:0:0:0:a
ad. 86400 IN NSEC ae. NS RRSIG NSEC
ad. 86400 IN RRSIG NSEC 8 1 86400 20130902000000 20130825230000 49656 . EFCtB8UiJJbrLGQBdM6ncbIX0o384U6hLrp1hF+vjFLMJ9QYNjdYsg05NIaaRmMoHBn4Dr9Zb6+MIOe8xhmBNLIzWG2IVtcevGX2A7S0xjRbMrGf11VhsuZ7/hAraN1/5t5sDIXpmkZ51LWKp8pac6MpbAb6HuGMs9geLFXEWjU=
ae. 172800 IN NS ae.cctld.authdns.ripe.net.
ae. 172800 IN NS ns1.aedns.ae.
ae. 172800 IN NS ns2.aedns.ae.
ae. 172800 IN NS sec3.apnic.net.
ae. 172800 IN NS sns-pb.isc.org.
ae. 172800 IN NS nsext-pch.aedns.ae.
ns1.aedns.ae. 172800 IN A 79.98.120.73
ns2.aedns.ae. 172800 IN A 79.98.121.73
nsext-pch.aedns.ae. 172800 IN A 199.4.137.1
nsext-pch.aedns.ae. 172800 IN AAAA 2001:500:7d:0:0:0:0:1
ns1.uaenic.ae. 172800 IN A 213.42.0.226
ns2.uaenic.ae. 172800 IN A 195.229.0.186
ae. 86400 IN NSEC aero. NS RRSIG NSEC
ae. 86400 IN RRSIG NSEC 8 1 86400 20130902000000 20130825230000 49656 . vDkQ4YqSiVtc+MfS+PauzV12jd2lkz5ITeyqq5I/s+CS4hsG81FbFkvxzENnA37i1+ILthjqHle/syNdvzOZitFZMwJryNovDnK3qIu7r21pZTmX9d1GnhioX4EZMd25kgiZFhtbCdTAnUOUfDALx1R+kqQYM2O0UV4VrNDte4I=
aero. 172800 IN NS a0.aero.afilias-nst.info.
aero. 172800 IN NS a2.aero.afilias-nst.info.
aero. 172800 IN NS b0.aero.afilias-nst.org.
aero. 172800 IN NS b2.aero.afilias-nst.org.
aero. 172800 IN NS c0.aero.afilias-nst.info.
aero. 172800 IN NS d0.aero.afilias-nst.org.
aero. 172800 IN NS ns2.switch.ch.
aero. 172800 IN NS ns5.knipp.de.
aero. 172800 IN NS dns7.denic.de.
aero. 86400 IN NSEC af. NS RRSIG NSEC
aero. 86400 IN RRSIG NSEC 8 1 86400 20130902000000 20130825230000 49656 . eDYV5KQkl03kG82gsKP99T1+KZiNuzm2Z8HyWAYhn1cJMZBCovB3TZSASAS4BdISOQTU4uRjSkmRjXeBf34JIW2hTlVoV9XbaF6lOAEgeBeAy4dlhnoO9U3GkXiqr0wLLMB4wtqHOiWpmRJ2b9j4cGKr0VX/u6dD0BAOpMsg9u4=
etc.

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 605
  • FTTH orange
Les DNS primaire et secondaire de SFR
« Réponse #21 le: 27 août 2013 à 20:49:55 »
j'utilise un Windows server 2012 pour le dns (ça fait un peu bazooka pour flinguer une mouche mais bon)

tu as deux types de possibilités (de mémoire):
les serveur redirecteurs: pour moi les dns orange et google
et les serveurs root: qui sont donc utilisés comme le décrit corrector

si aucun des redirecteurs ne répond on passe sur les root (enfin d'après ce que j'ai compris)

et juste avec les root serveurs ça marche très bien!

après ce n'est peut être pas optimal comme config.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 076
  • Paris (75)
Les DNS primaire et secondaire de SFR
« Réponse #22 le: 27 août 2013 à 20:52:23 »
On dit 'récursif' par abus de langage parce que le resolver (le serveur qui va résoudre la demande) fait un récursion pour résoudre l’adresse.

Mais effectivement tout ce passe sur le resolver, les autres serveurs impliqués 'plus en amont' ne font pas de récursion sinon ils satureraient rapidement.
Il n'y a donc pas propagation d'un traitement.

Pour résoudre a.b.c.d, le resolver resout en 1er "d" avec en regardant dans la root zone pour savoir a qui demander. Il demande au serveur qui gere "d" l’adresse d'un serveur qui gère "c.d" puis demande a celui ci l'adresse d'un serveur qui gère "b.c.d" et finalement demande a ce dernier l'adresse de "a".

Dans le cas présent, il y'a 3 serveurs "parents" impliqués (un pour d, un pour c et un pour b) mais eux ne font pas récursion, il répondent immédiatement.

On distingue plusieurs 'types/roles' de serveurs DNS:
authoritative : qui contient les entrées pour une ou plusieurs zones ("d","c.d", "b.c.d" sont des zones).
resolver : qui sait resoudre de facon recursive une adresse
cache: qui memorise les valeurs
forwarder : qui propage la demande a autre serveur dns (s'il ne fait que ca on dit un "stub forwarder"). on dit relai DNS souvent aussi.

Pour un particulier, le meilleur serveur DNS est celui qui met le moins de temps a rendre une réponse. Latence et taux de réussite du cache sont les 2 facteurs clés.
Dans 99,9% des cas le mieux c'est la box du FAI. C'est en général un 'cache & forwarder' qui 'forward' sur des gros caches qui eux même sont des resolvers ou juste des forwardersvers des resolvers dédiés (je ne sais pas comment les FAI francais font, surement du simple je pense). La box peut aussi etre serveur DNS authoritative pour le domaine local (.lan, ou .local par défaut chez certains FAI).

Pour avoir l'ip du serveur qui fait effectivement la résolution pour vous, faite un dig whoami.akamai.net a +short (répéter plusieurs fois, il peut y avoir plusieurs réponses)
ou un dig whoami.akamai.net a @x.y.z.t +short pour savoir qui fait la résolution pour le serveur DNS x.y.z.t (ou connaitre son adresse réelle dans le cas d'un anycast par exemple).

corrector

  • Invité
Les DNS primaire et secondaire de SFR
« Réponse #23 le: 27 août 2013 à 21:05:06 »
tu as deux types de possibilités (de mémoire):
les serveur redirecteurs: pour moi les dns orange et google
Tu veux dire proxy?

et les serveurs root: qui sont donc utilisés comme le décrit corrector

si aucun des redirecteurs ne répond on passe sur les root (enfin d'après ce que j'ai compris)

et juste avec les root serveurs ça marche très bien!
Heu non, ce n'est pas possible de juste interroger les serveurs racines.

Les serveurs racines ne font que répondre sur la zone racine dont j'ai posté le début. Ils ne font que donne l'adresse du responsable : tu vas au bureau d'information et tu dis "je voudrais telle information", et on te dit "adressez-vous à tel autre bureau d'information". Tu vas de bureau d'information en bureau d'information jusqu'à trouver celui qui a l'information.

Mais en aucun cas un client ne va interroger un relais DNS (ou resolveur DNS) puis un DNS racine : si dns2.proxad.fr me donne une réponse négative sur une requête, mon navigateur va m'afficher un message d'erreur. Si dns2.proxad.fr ne me répond pas, je vais réinterroger dns2.proxad.fr.