Hello,

Depuis toujours j'utilise les DNS de mon FAI pour des raisons de ne pas me prendre la tête. Mais vu qu'il y a de plus de en plus de sites inaccessibles (surtout dans les domaines des vidéos de vacances), j'aimerai passer par autre chose que des modifs du host du routeur qui fait dnsmasq.
Et du coup, j'aimerai bien que l'on m'explique s'il y a une vrai différence entre utiliser les DNS par défaut du FAI et d'autres DNS tiers (google ou autre), en particulier pour tout ce qui est accès aux caches réseaux de trucs genre netflix/amazon/steam.
Pourquoi je demande ça ? J'ai constaté que souvent quand je 'dig' la même requète entre plusieurs serveur DNS, j'ai des IP différentes.
Exemple avec akamai:
DNS FAI par défaut> dig e2915.dscx.akamaiedge.net @192.168.0.1

; <<>> DiG 9.16.15-Ubuntu <<>> e2915.dscx.akamaiedge.net @192.168.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15848
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1472
;; QUESTION SECTION:
;e2915.dscx.akamaiedge.net. IN A

;; ANSWER SECTION:
e2915.dscx.akamaiedge.net. 8 IN A 104.116.97.18

;; Query time: 4 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: mer. janv. 05 09:38:41 CET 2022
;; MSG SIZE  rcvd: 70

DNS 1.1.1.1> dig e2915.dscx.akamaiedge.net @1.1.1.1

; <<>> DiG 9.16.15-Ubuntu <<>> e2915.dscx.akamaiedge.net @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34430
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;e2915.dscx.akamaiedge.net. IN A

;; ANSWER SECTION:
e2915.dscx.akamaiedge.net. 20 IN A 23.215.53.132

;; Query time: 20 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: mer. janv. 05 09:39:34 CET 2022
;; MSG SIZE  rcvd: 70

Du coup ma question concerne surtout le fait de savoir si les IP répondues par les DNS tiers permettent de garder un bon débit/une bonne interconnexion en particulier vers les services très demandeur de BP (google/netflix/amazon/etc) et qui ont des caches chez les opérateurs.

La répartition de charge Netflix/YouTube sur des caches hébergés par ton FAI se fait via l’IP source de la demande et non la requête DNS. Changer de serveur DNS n’impactera pas la sélection du serveur YouTube/Netflix.
Pour les autres services, je n’ai pas d’infos. Mais c’est pas vraiment génial d’utiliser du DNS pour repartir la charge, généralement c’est fait au niveau de la région du globe (genre EU/USA) et en utilisant les DNS de Cloudflare ou de Google cela ne va rien impacter, ils sont régionalisés.
J’utilise les DNS de Cloudflare depuis leur ouverture et je n’ai jamais constaté de perfs differentes. Et pour les photos de vacances, c’est cool.

Pour cela, je préférerai quand même continuer à utiliser les dns de mon fai. Mais j'aimerai bien que si les dns du fai me répondent 127.0.0.1, rien, ou honeypot.fr, dnsmasq utilise un autre serveur dns.

réponse 1 : dnsmasq le fait mais faut te farcir la conf en dur à la main pour les domaines/resolver que tu souhaites.
réponse 2 : bah t'es mûr pour "monter" ton resolver si tu as ce type de besoin (avec un peu de bol y en a un dans ton routeur). Pasque globalement si le DNS du FAI te renvoie du bullshit dnsmasq a peu de chance de le savoir ca restera une réponse "legit" et du coup tu ne peux pas batir de règles pour requêter un second resolver dynamiquement (ou alors je sais pas faire)
réponse 3 :  certains OS (comme macOS) permettent de mettre des resolvers différents en fonction du domaine, voire par interface/domaine. C'est très pratique quand on a un VPN avec sa boite, qui inscrit un resolver pour les ressources internes à la boite et le DHCP du FAI qui remet les siens 10 minutes après et qui te gonfle pendant ton télétravail.

Comme dit plus haut, j'utilise déjà hosts.
Je voudrais m'affranchir de ce besoin.
J'hésite à passer à un DNS autres (openDNS, google, cloudfare, autre).
Je me pose la question des performances, et je suis d'accord avec Fyr, entre un DNS qui répond en 3ms et un autre en 10ms, il y a des chances que cela se ressens un peu à la navigation, même si j'utilise un dnsmasq pour cacher un peu.
Mais les autres problèmes potentiels de performances sont sur les IP répondus, sont-elles "adaptées" au FAI dans le sens ou cela va répondre par une IP proche. D'après les réponses ici, il semble que oui.

Enfin dernière question: est-ce qu'il existe un service de cache DNS capable d'ajouter des hook si les serveurs DNS de son FAI répond quelque chose de particulier (genre 127.0.0.1 pour autre chose que localhost). Hook que j'utiliserai pour interroger un service DNS tiers.

Mon avis, je pense que je vais taper dans le code de dnsmasq pour ajouter une option dnshook genre
dnshook=ip/127.0.0.1/server/8.8.8.8 # server DNS répond 127.0.0.1, utilise plutôt la réponse via le server 8.8.8.8 (et accepte peut importe le résultat)
dnshook=cname/forbiden.gouv.fr/server/8.8.8.8 # server DNS répond CNAME fobiden.gouv.fr, utilise plutôt la réponse via le server 8.8.8.8 (et accepte peut importe le résultat)
dnshook=none/*films-de-vacances.com/ip/192.168.1.1 # server DNS répond qu'il n'a pas d'IP pour *films-de-vacances.com, utilise plutôt la réponse ip en dure 192.168.1.1 (il y a d'autres moyen de faire ça, mais là ce qui est important c'est qu'il interroge d'abord les serveurs DNS et que le hook n'est fait QUE si les serveurs répondent rien).


...si le premier ne sais pas résoudre, il demande au second, puis au troisième.

Tu es sur de ça ? Ma mémoire me fait défaut, mais il me semble que si le premier ne sait pas résoudre alors ca ne va pas plus loin, c'est qu'il n'y a pas de réponse. C'est dans le cas ou le serveur DNS ne répond pas qu'on passe au second.
il y a quelques années j'ai été confronté a ce problème, du coup j'ai un doute sur le mécanisme...

Concernant les dns plus ou moins rapides que les autres, je pense que c'est un faux problème. car c'est uniquement lors de la 1ere requete à un site qu'on va faire appel au dns, les 5000 fois suivantes le resultat de la requete n'ira pas plus loin que le cache dns sur votre PC, et si toutefois vous le redémarrez ce sera le cache dns de votre routeur qui répondra (si vous utilisez son IP comme DNS), jusqu'a son redémarrage à lui aussi.
Moi j'utilise les DNS de SFR dans mon routeur, et sur mon PC c'est l'IP du routeur qui fait office de DNS.

Un petit logiciel interessant : https://www.grc.com/dns/benchmark.htm
vous verrez qu'a l'usage rien n'est plus rapide que d'utiliser l'ip de son routeur. Lorsque le dns est dans le cache de votre routeur, aucun serveur DNS ne répondra aussi vite.