La Fibre

Télécom => Réseau => reseau TCP/IP / Fonctionnement des réseaux => Discussion démarrée par: vivien le 07 mai 2015 à 21:17:11

Titre: Fonctionnement de CloudFlare
Posté par: vivien le 07 mai 2015 à 21:17:11
Je me pose des questions sur le fonctionnement de CloudFlare

J'ai eu une erreur assez incompréhensible pour moi :
Une page HTML qui se charge pour me prévenir d'un problème de résolution DNS

Si le pb de DNS est lié à ma connexion (je suis en 4G dans un bus), il ne devrait rien m'afficher.

Là, cette page m'a été envoyée depuis l'Internet, non ?

(https://lafibre.info/images/peering/201505_cloudflare_nextinpact.png)

Voici le traceroute vers nextinpact.fr qui est bien chez cloudflare :


$ mtr -rwc100 www.nextinpact.com
Start: Thu May  7 19:16:33 2015
HOST: vivien                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 192.168.43.1                3.0%   100   13.4   7.9   1.2  53.3   9.2
  2.|-- 10.125.64.10                0.0%   100   50.9  45.6  25.0 100.0  13.0
  3.|-- 172.20.24.92                1.0%   100   34.9  36.3  23.3  56.5   6.5
  4.|-- 172.20.24.98                0.0%   100   34.8  38.5  25.1  78.6   9.2
  5.|-- 212.194.173.246             3.0%   100   47.0  37.0  25.9  93.8   8.1
  6.|-- be20.cbr01-ntr.net.bbox.fr  0.0%   100   42.8  40.4  27.7  64.6   7.4
  7.|-- la13.rpt02-ix2.net.bbox.fr 80.0%   100   37.5 189.0  28.9 1420. 360.1
  8.|-- cloudflare.franceix.net     0.0%   100   53.3  37.3  26.2 109.2   9.3
  9.|-- 162.159.250.65              0.0%   100   33.0  37.8  25.7 128.4  11.2
Titre: Fonctionnement de CloudFlare
Posté par: cali le 07 mai 2015 à 21:25:46
Parce que le httpd de cloudflare vers lequel tu pointes ne sert pas ce domaine ?
Titre: Fonctionnement de CloudFlare
Posté par: Snickerss le 07 mai 2015 à 21:45:47
Je pense que Nextinpact a simplement une config chez Cloudfare qui utilise des domaines que Cloudfare n'arrive pas à résoudre (pour récupérer du contenu, une requête etc.). Ce n'est pas toi depuis ta connexion qui tape directement vers les domaines visés, tout passe par eux (Cloudfare) qui gère sa popote comme ils l'entendent avec les histoires qui vont bien de load balancing and co. Tu ne sauras même pas quel domaine était visé pour faire le test depuis chez toi.
Titre: Fonctionnement de CloudFlare
Posté par: kgersen le 07 mai 2015 à 21:55:31
L.e probleme DNS est chez Cloudfare: les infos pour le domaine en question ne sont pas trouvé dans leur base interne (qui n'est pas la base DNS public de ce domaine qui ne fait que pointer vers eux). Comme expliqué dans le message de l'erreur c'est soit un probleme de délai/config soit un probleme entre un tiers et Cloudflare, plus probable. C'est a dire que si NextInpact ne traite pas directement avec Cloudflare mais avec un hébergeur qui lui sous-traite a Cloudflare et qu'il y a un souci de config DNS en cet hebergeur et Cloudflare.

Il est fréquent d'utiliser des DNS menteurs ou privés entre prestataires:

public <--> (A) DNS public pour domain.com <--> prestataire 1 <--> (B) DNS privé/menteur pour domain.com <--> prestataire 2

c'est B qui foire la. A, de ton coté marche bien puisque tu arrives sur un serveur de Cloudfare.

Titre: Protection DDoS CloudFlare
Posté par: vivien le 25 août 2015 à 15:18:36
Je trouve que le site NextINpact (https://www.nextinpact.com/) est régulièrement inaccessible.

Aujourd'hui, je suis bloqué sur une page Anti-DDOS de cloudflare (premier fois de la journée que je vais sur le site web).

Je reste plusieurs minutes sur cette page :
(https://lafibre.info/images/presse/201508_ddos_protection_cloudflare.png)

Soit le site est victime de nombreuses attaques, soit les outils de CloudFlare ne sont pas biens rodés...

La version https de NextINpact ne fonctionne plus du tout (mais elle n'est pas diffusée, j'ai découvert sons existence en forçant le site en https, il y a quelques jours)
Titre: Protection DDoS CloudFlare
Posté par: Marin le 25 août 2015 à 15:30:47
Soit le site est victime de nombreuses attaques, soit les outils de CloudFlare ne sont pas biens rodés...

Pour que CloudFlare soit efficace, il y a quelques détails à respecter, notamment : ne pas faire fuiter la vraie adresse IP n'importe comment, par exemple en la laissant assignée à divers sous-domaines... ;)
Titre: Fonctionnement de CloudFlare
Posté par: cali le 25 août 2015 à 15:40:15
Quand un site utilise cloudflare, cloudflare injecte de la merde dans chaque page et je crois que ce n'est pas désactivable.

Aussi ils se vantent constamment et font des trucs très louches, les mecs qui ont fait cloudflare étaient à la ruine et se sont vus octroyer un chèque de plusieurs dizaines de millions de dollars pour mettre ça en place parce que un mec de la CIA ou je sais plus quoi trouvait que c'était super cool de collecter des informations comme ils le faisaient avec leur ancien projet "honeypot".

Au début ils essayaient aussi de faire croire qu'ils avaient entièrement développé leur reverse proxy avant que plusieurs personnes se mettent à raconter que ça ressemble quand même beaucoup à nginx.
Titre: Fonctionnement de CloudFlare
Posté par: Marin le 25 août 2015 à 21:25:26
Quand un site utilise cloudflare, cloudflare injecte de la merde dans chaque page et je crois que ce n'est pas désactivable.

Il ne me semble pas que ce soit nécessairement le cas par défaut, avec l'offre de base (https://www.cloudflare.com/plans).

Aussi ils se vantent constamment et font des trucs très louches, les mecs qui ont fait cloudflare étaient à la ruine et se sont vus octroyer un chèque de plusieurs dizaines de millions de dollars pour mettre ça en place parce que un mec de la CIA ou je sais plus quoi trouvait que c'était super cool de collecter des informations comme ils le faisaient avec leur ancien projet "honeypot".

Au début ils essayaient aussi de faire croire qu'ils avaient entièrement développé leur reverse proxy avant que plusieurs personnes se mettent à raconter que ça ressemble quand même beaucoup à nginx.

Je veux bien quelques sources si tu en as (je n'ai pas trouvé grand chose, à part un fil sur /r/conspiracy qui ne parle même pas de ça).

Ce qui est indéniable c'est qu'ils ont le potentiel de fournir une quantité de trafic aux grande oreilles américaines, surtout avec leur SSL qui casse le principe de chiffrement bout-en-bout.
Titre: Fonctionnement de CloudFlare
Posté par: cali le 25 août 2015 à 21:47:11
http://allthingsd.com/20110712/web-security-startup-cloudflare-lands-20-million-funding-round/

Dans leurs ToS aussi avant il y avait des trucs marrants comme "bah oui on va regarder le trafic et faire pleins de statistiques et puis de toute façon ça devient notre trafic vu qu'il passe par notre réseau. On fait ce qu'on veut alors."

Aussi tous les sites que les US jugent illégaux sont chez cloudflare alors que si c'était un autre réseau US il y aurait un raid dans la journée.
Titre: Fonctionnement de CloudFlare
Posté par: vivien le 26 avril 2016 à 13:36:40
Ils ont améliorées les erreurs, mais pour moi il y a un pb d'avoir une disponibilité aussi faible : (je ne sais pas où est le pb c'est peut être pas cloudflare le responsable)

(https://lafibre.info/images/peering/201604_cloudflare_nextinpact.png)
Titre: Fonctionnement de CloudFlare
Posté par: underground78 le 26 avril 2016 à 13:45:31
Ils ont améliorées les erreurs, mais pour moi il y a un pb d'avoir une disponibilité aussi faible : (je ne sais pas où est le pb c'est peut être pas cloudflare le responsable)
Je ne pense pas que ça soit CloudFlare le soucis, plutôt les serveurs de NextInpact qui s'écroulent régulièrement (très probablement du fait d'attaques même si NextInpact ne communique pas à ce sujet).

PS : Actuellement je peux accéder à NextInpact sans soucis cela dit. Ça fait un moment que je n'ai pas eu de problème.
Titre: Fonctionnement de CloudFlare
Posté par: DamienC le 26 avril 2016 à 15:16:51
Pour utiliser Cloudfare, cette erreur signifie que le serveur web de nextimpact est down. Les causes probables sont multiples, je ne vous apprend rien.
EDIT: si je coupe mon nginx, mon site retourne la même erreur, et je suis sur une offre basique, gratuite.
Titre: Fonctionnement de CloudFlare
Posté par: Optix le 26 avril 2016 à 16:24:50
Ils ont améliorées les erreurs, mais pour moi il y a un pb d'avoir une disponibilité aussi faible : (je ne sais pas où est le pb c'est peut être pas cloudflare le responsable)

(https://lafibre.info/images/peering/201604_cloudflare_nextinpact.png)

Dommage qu'il n'y ait pas une version en cache au moins :/
Titre: Fonctionnement de CloudFlare
Posté par: Phach le 27 avril 2016 à 10:27:39
je pense que c'est nextimpact qui a des soucis, l'autres matin j'ai eut ça :

(https://lafibre.info/images/peering/201604_cloudflare_nextinpact_2.png)
Titre: Fonctionnement de CloudFlare
Posté par: cali le 27 avril 2016 à 13:17:05
je pense que c'est nextimpact qui a des soucis, l'autres matin j'ai eut ça :

C'est nextINPACT.com pas nextIMPACT.com
Titre: Fonctionnement de CloudFlare
Posté par: underground78 le 27 avril 2016 à 14:52:12
C'est une faute de frappe dans le message, l'adresse est bien correcte dans sa capture d'écran.
Titre: Fonctionnement de CloudFlare
Posté par: cali le 27 avril 2016 à 14:53:05
C'est une faute de frappe dans le message, l'adresse est bien correcte dans sa capture d'écran.

Pas la première.
Titre: Fonctionnement de CloudFlare
Posté par: Phach le 27 avril 2016 à 15:28:08
Y a pas d'erreur sur l'adresse, c'est dans mes "favoris" sur mon téléphone.
Donc, quand j'ai eut le server error, j'ai fait un refresh, j'ai été balancé sur l'autre ip qui correspond à la connexion d'un canadien apparemment.
D'ailleurs, je vais flouter l'adresse, car j'avais pas fait gaffe avant de voir le reverse sur tcputils.

// edit : autant pour moi, j'ai regardé et effectivement, nextimpact.com renvoit sur l'ip susdite et l'interface dlink.
je pensais avoir juste rafraichi la page, mais non, j'ai du retaper l'adresse sans la faute d'orthographe à "impact"
Titre: Fonctionnement de CloudFlare
Posté par: Marin le 14 juillet 2016 à 12:20:35
Anecdote intéressante : en Inde, les personnes accédant à The Pirate Bay en HTTPS se retrouvent avec une page de blocage, mais injectée à un endroit bien particulier. C'est en effet le FAI qui fournit son transit aux PoP Cloudflare nationaux, qui effectue son MitM assez en amont sur ses réseaux...

Les sites clients ont la possibilité de chiffrer gratuitement le trafic entre leurs serveurs et les PoP Cloudflare, et c'est d'ailleurs encouragé mais ce n'est vraisemblablement pas le cas pour la majorité d'entre eux.

Source avec illustrations : https://medium.com/@karthikb351/airtel-is-sniffing-and-censoring-cloudflares-traffic-in-india-and-they-don-t-even-know-it-90935f7f6d98
Titre: Fonctionnement de CloudFlare
Posté par: vivien le 14 juillet 2016 à 21:16:13
The Pirate Bay utilise CloudFlare ?

Le trafic entre The Pirate Bay et le POP CloudFlare est en http ?

En tout cas, cela devrait inciter à passer en https, car "The Pirate Bay" n'est sûrement pas le site qui a motivé à  mettre en place une tel infrastructure. Inspecter les URL sur des lien a 100 Gb/s, cela ne dois pas être donné.
Titre: Fonctionnement de CloudFlare
Posté par: TroniQ89 le 15 juillet 2016 à 02:52:54
Je pense que des fois certains POPs doivent ^etre downs... J'ai un monitoring sur CF et sur le serveur en backend, et CloudFlare down très régulièrement, mais ça se ressent pas en navigation... Ca doit dépendre du POP/de la machine sur laquelle on tombe.
Titre: Fonctionnement de CloudFlare
Posté par: Marin le 15 juillet 2016 à 10:52:26
The Pirate Bay utilise CloudFlare ?

Le trafic entre The Pirate Bay et le POP CloudFlare est en http ?

Vraisemblablement, oui.

En tout cas, cela devrait inciter à passer en https, car "The Pirate Bay" n'est sûrement pas le site qui a motivé à  mettre en place une tel infrastructure. Inspecter les URL sur des lien a 100 Gb/s, cela ne dois pas être donné.

C'est plus exactement l'en-tête Host qui paraît être inspectée. On n'a pas de donnée pour extrapoler la taille du ou des liens. C'est à relativiser en pensant aux transformations beaucoup plus complexes que les opérateurs mobiles mettent en effet sur la totalité de leur trafic.

Je pense que des fois certains POPs doivent ^etre downs... J'ai un monitoring sur CF et sur le serveur en backend, et CloudFlare down très régulièrement, mais ça se ressent pas en navigation...

Si le doute de cette différence se présente, les spécifications à la base du fonctionnement technique de ton outil de surveillance réseau mériteraient d'être observées plus en détail, à savoir par exemple si les informations tirées du DNS sont bien rafraîchies à chaque observation, ou si le motif utilisé n'est pas en contradiction avec les filtres employés par leur infrastructure.
Titre: Fonctionnement de CloudFlare
Posté par: TroniQ89 le 15 juillet 2016 à 15:29:22
Le service de "monitoring" (il est très simple) est UptimeRobot.
Et pas besoin de rafraichir les DNS, les IPs sont en anycast.
Titre: Fonctionnement de CloudFlare
Posté par: Sn@ke le 15 juillet 2016 à 18:35:22
On a hésité à utiliser CloudFlare en CDN pour nPerf mais qd on a vu la souplesse de mise en œuvre (faut changer les NS du domaine pour ceux de cloudflare) on a laisser tomber, trop dangereux.
Il y a aucun moyen d'envoyer juste un CNAME sur leur infra, c'est tout ou rien, et sur un service gratuit, c'est forcèment que y'a un truc pas net...

Finalement on utilise KeyCDN qui est pas cher et fonctionne très bien.