La Fibre
Télécom => Réseau => TCP/IP / Fonctionnement des réseaux => Discussion démarrée par: tutosfaciles48 le 19 juin 2022 à 18:18:44
-
Bonsoir !
Après quelques problèmes de configuration dns de mon pi hole (requêtes qui fuitaient encore sur la livebox) je me rends compte que depuis quelques jours, le dns d'orange ment pour le site 4shared.com .
Cela ne me pose pas plus de problèmes que ça, étant donné que j'ai mon pi hole.
Des gens chez Free et SFR ont bien les bonnes ip qui sont retournées à leur clients.
Quelqu'un a des infos ?
tutosfaciles48
-
Il doit y avoir une décision de justice.
Je confirme chez SFR il n'y a pas de réponse :
$ dig 4shared.com
; <<>> DiG 9.18.1-1ubuntu1.1-Ubuntu <<>> 4shared.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31943
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;4shared.com. IN A
;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sun Jun 19 20:35:23 CEST 2022
;; MSG SIZE rcvd: 40
Chez Bouyges Telecom aussi, il n'y a pas de réponse :
$ dig 4shared.com
; <<>> DiG 9.18.1-1ubuntu1.1-Ubuntu <<>> 4shared.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 29061
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;4shared.com. IN A
;; ADDITIONAL SECTION:
sol. 900 IN SOA dnsfm05.localdomain. dnsextmaster.bouyguestelecom.fr. 176895 10800 3600 2419200 900
;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sun Jun 19 20:39:57 CEST 2022
;; MSG SIZE rcvd: 129
Chez Adeli, c'est ok :
$ dig 4shared.com
; <<>> DiG 9.16.1-Ubuntu <<>> 4shared.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20993
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;4shared.com. IN A
;; ANSWER SECTION:
4shared.com. 61 IN A 204.155.149.42
4shared.com. 61 IN A 204.155.149.43
4shared.com. 61 IN A 204.155.146.95
4shared.com. 61 IN A 204.155.149.41
;; Query time: 8 msec
;; SERVER: 2606:4700:4700::1111#53(2606:4700:4700::1111)
;; WHEN: dim. juin 19 20:35:43 CEST 2022
;; MSG SIZE rcvd: 104
-
Il ne faut pas utiliser les DNS de son FAI. Sinon on a accès à la moitié du Web, en fonction de ce que Dieu décide pour nous.
-
y'a pas une liste officielle des domaines bloqués par la justice ?
ca ne me parait pas normal que cette information ne soit pas disponible (même pour éviter l'effet Streisand)
-
https://fr.wikipedia.org/wiki/Censure_d%27Internet_en_France
La liste des sites web censurés n'est pas connue du public français.
ben on dirait qu'on n'a pas le droit de savoir...
-
La censure est censurée :-X
-
C'est beau <3
-
y'a pas une liste officielle des domaines bloqués par la justice ?
ca ne me parait pas normal que cette information ne soit pas disponible (même pour éviter l'effet Streisand)
Aujourd'hui la liste des blocages DNS est hautement confidentielle (très peu de personnes y on accès chez les opérateurs et je pense que personne à l'Arcep n'y a accès). C'est probablement pour éviter les fuites qu'elle n'est pas diffusée aux opérateurs alternatifs.
Il faudrait que des personnes de confiance puisse vérifier cette liste, sans pour autant la rendre publiquement disponible.
Si vous avez des idées, c'est le moment car le fonctionnement pour le blocage des médias Russes demandé par l'Europe n'a pas été fluide en France et donc cela souhaitable que cela évolue.
-
On peux créer la notre sur le forum ::)
Dans une section verrouillée aux noob :P
-
Des gens chez Free et SFR ont bien les bonnes ip qui sont retournées à leur clients.
Ma Freebox ment également pour ce domaine.
$ dig 4shared.com @192.168.1.254
; <<>> DiG 9.16.29-RH <<>> 4shared.com @192.168.1.254
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61209
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1472
;; QUESTION SECTION:
;4shared.com. IN A
;; ANSWER SECTION:
4shared.com. 3600 IN A 127.0.0.1
;; Query time: 2 msec
;; SERVER: 192.168.1.254#53(192.168.1.254)
;; WHEN: Tue Jun 21 19:07:07 CEST 2022
;; MSG SIZE rcvd: 56
-
Aujourd'hui la liste des blocages DNS est hautement confidentielle (très peu de personnes y on accès chez les opérateurs et je pense que personne à l'Arcep n'y a accès). C'est probablement pour éviter les fuites qu'elle n'est pas diffusée aux opérateurs alternatifs
Je ne comprends pas vraiment l'intérêt d'un dispositif de ce genre, qui n'est pas mis en place par tous les FAI et qui surtout est facile à détourner ; sur l'exemple de domaine évoqué, les resolvers de Google et Cloudflare donnent les réponses correctes. Resolvers que le grand public peut facilement configurer ...
-
Je ne comprends pas vraiment l'intérêt d'un dispositif de ce genre, qui n'est pas mis en place par tous les FAI et qui surtout est facile à détourner ; sur l'exemple de domaine évoqué, les resolvers de Google et Cloudflare donnent les réponses correctes. Resolvers que le grand public peut facilement configurer ...
Le 1.1.1.1 est proxyfié par la livebox, et de mémoire, en tout cas pendant une période, le 8.8.8.8 l'était par la freebox
-
Le 1.1.1.1 est proxyfié par la livebox, et de mémoire, en tout cas pendant une période, le 8.8.8.8 l'était par la freebox
Les DNS comme 1.1.1.1 ou 8.8.8.8 fonctionnent parfaitement chez tous les opérateurs français, c'est une obligation de la neutralité du net.
Au début, plusieurs opérateurs ont dû adapter leur box, car elle utilisait en interne l'IP 1.1.1.1. Ils ont été contactés par CloudFlare avant le lancement du https://1.1.1.1 mais cette adaptation a mis un peu plus de temps chez Orange, et cela s'est terminé après la mise en prod du https://1.1.1.1/ mais rien de grave.
-
Je ne comprends pas vraiment l'intérêt d'un dispositif de ce genre, qui n'est pas mis en place par tous les FAI et qui surtout est facile à détourner
L'objectif primaire n'était pas les sites de piratage, mais des sites plus problématiques, par exemple des sites incitant des personnes à basculer dans le terrorisme. Peu à peu, son usage s'étend comme les jeux en ligne illégaux en France.
Maintenant, son usage pourrait être encore étendu de manière optionnelle à d'autres menaces, comme en Belgique :
Le dispositif DNS « anti-arnaques » de la Belgique : Belgian Anti Phishing Shield
La Belgique s'est doté en 2021 d'une protection contre l’hameçonnage et les logiciels malveillants basée sur le DNS activée par défaut : Les opérateurs télécoms Belge ont l'obligation de filtrer les sites néfastes. La liste des sites problématiques semble mis à jour par le "Centre pour la Cybersécurité Belgique".
Le fonctionnement du Belgian Anti Phishing Shield
Le Centre pour la Cybersécurité Belgique (CCB ci-dessous) détermine des noms de domaines malveillants et transmets cette liste aux principaux fournisseurs d'accès à internet Belges.
Les FAI ont l'obligation de renvoyer la liste des sites Internet malveillants vers l'IPv4 52.149.77.208, hébergée par le cloud Microsoft Azure
Les clients voient une fenêtre de leur navigateur "Attention : risque probable de sécurité", car le certificat https présenté n'est pas le bon.
(https://lafibre.info/images/ssl/202203_belgian_anti_phishing_shield_2.png)
-
Non merci. J'ai un cerveau, je sais l'utiliser, et je ne suis plus un enfant. Je n'ai pas besoin que quelqu'un me dise ce qui est bien, et ce qui ne l'est pas.
Il y a, et il y aura toujours, un moyen de contourner la censure (oui, j'appelle ça de la censure) sur l'Internet, car ce dernier a été prévu pour être décentralisé et ne pas pouvoir être contrôlé par une entité unique. N'en déplaise à certains intérêts (toujours les mêmes, d'ailleurs).
-
Quand je dis que le 1.1.1.1 est proxifié, c'est son port 53:
Et non, je ne suis pas à 1 ms de cloudfare en ipv6
D'ailleurs, on voit bien que ça redirige toujours vers la livebox, avec un firmware réçent
-
Si vous avez des idées, c'est le moment car le fonctionnement pour le blocage des médias Russes demandé par l'Europe n'a pas été fluide en France et donc cela souhaitable que cela évolue.
Je ne sais pas ce que tu entends par là, mais il y a un vrai dysfonctionnement des règles d'états de droits.
Cette décision de l'UE a été un camouflet à toutes les règles de droits, et au bon sens humain.
Un décision, sans vote, de sanctions unilatérales, sans aucune concertation des états membres.
Avec des décérébrés appuyant des décisions autoritaire.
Je n'aiderai pas à établir des règles allant à l'encontre de ces convictions, c'est pas d'aujourd'hui, et cela changera pas.
Il ne faudrait jamais donner de pouvoir à des personnes ne sachant pas l'utiliser à bon escient.
Les sanctions, engendrent d'autres sanctions bilatérales, il faut vraiment être con pour pas comprendre. Ou alors imaginer être plus fort que tout le monde, et là ceux là, ils manquent pas.
Action -> Réaction, il faut pas s'attendre à beaucoup d'intelligence chez certains.
Pour en revenir à ces DNS menteurs, vouloir répondre à un problème de légalité par un outil technique, c'est se défausser sur la technique pour des comportements éducatifs, c'est botter en touche. Cela en arrange certains.
Il n'y aura aucune solution satisfaisante par ce biais à un problème qui n'est pas de ce ressort, ni sur plan, ce n'est pas un problème technique.
-
Aujourd'hui la liste des blocages DNS est hautement confidentielle (très peu de personnes y on accès chez les opérateurs et je pense que personne à l'Arcep n'y a accès). C'est probablement pour éviter les fuites qu'elle n'est pas diffusée aux opérateurs alternatifs.
Il faudrait que des personnes de confiance puisse vérifier cette liste, sans pour autant la rendre publiquement disponible.
Si vous avez des idées, c'est le moment car le fonctionnement pour le blocage des médias Russes demandé par l'Europe n'a pas été fluide en France et donc cela souhaitable que cela évolue.
Tout dépend de l'objectif.
Si c'est pour vérifier qu'il n'y a pas de blocage injustifié, je ne vois pas de bonne solution :
- à une autorité "indépendante" qui centraliserait les demandes : c'est compliqué, puisque le budget vient du gouvernement
- à une commission parlementaire : avoir des camps opposés permettrait de limiter les risques d'entente, mais d'un autre côté c'est peut-être y accorder trop d'importance (dans tous les sens du terme)
Si c'est permettre de vérifier qu'un blocage constaté chez un opérateur vient bien d'une décision officielle et pas de sa propre initiative, il suffirait de soit :
- publier les hashs des noms de domaines bloqués (certes il serait facile de tester les domaines populaires dessus, mais on peut déjà le faire sur les DNS des FAI)
- fournir une API pour indiquer si un nom de domaine est bloqué ou non
-
Quand je dis que le 1.1.1.1 est proxifié, c'est son port 53:
Et non, je ne suis pas à 1 ms de cloudfare en ipv6
D'ailleurs, on voit bien que ça redirige toujours vers la livebox, avec un firmware réçent
C'est un effet indésirable de l'usage de 1.1.1.1 en interne sur les Livebox 4 et 5 : l'adresse sert pour dialoguer avec le chipset Wifi Quantenna.
C'est l'interface interne qui répond pour l'ICMP, d'où le ping observé.
Mais en TCP et UDP ça part bien vers Internet, sous Linux il y a plein d'outils pour le vérifier : traceroute (avec les bonnes options si nécessaire), tracepath, mtr avec -T ou -U, ...
Sous Windows il faut installer des outils tiers pour le vérifier (nmap sait faire un traceroute TCP par exemple, il doit y en avoir d'autres).