Le mystère DNS Free rebondit



Documents pareils
Exemple d application: l annuaire DNS Claude Chaudet

Il est recommandé de fermer les serveurs DNS récursifs ouverts

Introduction au DNS. Les noms de domaine s'écrivent de la gauche vers la droite, en remontant vers la racine et sont séparés par un "." (point).

LOSLIER Mathieu. Filière Informatique et Réseau 1 ère année. TP DNS. Responsable : LOHIER Stephane. Chargé de TD : QUIDELLEUR Aurélie

Nouvelle version de Zonecheck, la 3.0, avec tests DNSSEC

Gestion centralisée d un réseau de sites discrets. Nicolas JEAN

Étude de l application DNS (Domain Name System)

Domain Name System Extensions Sécurité

Installation du service DNS sous Gnu/Linux

Télécommunications. IPv4. IPv4 classes. IPv4 réseau locaux. IV - IPv4&6, ARP, DHCP, DNS

TCP/IP - DNS. Roger Yerbanga contact@yerbynet.com

DNS. Olivier Aubert 1/27

Corrigé du TP 6 Réseaux

V - Les applications. V.1 - Le Domain Name System. V Organisation de l espace. Annuaire distribué. Définition. Utilisation par le resolver

Réseaux IUP2 / 2005 DNS Système de Noms de Domaine

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février

Sécurité des réseaux Les attaques

Introduction...3. Objectifs...3 Contexte...3 nslookup/dig/host...3 whois...3. Introduction...4

Administration de réseaux. Marc Baudoin

TUTORIAL CONFIGURATION DE BIND ET INSTALLATION DE ZIMBRA

Introduction au DNS. Bertrand Bonnefoy-Claudet. 10 février 2014

DNSSEC Pourquoi et détails du protocole

Comment fonctionne le serveur cache (1) DNS Session 2: Fonctionnement du cache DNS. Historique du support de cours

INTERNET & RESEAUX. Dino LOPEZ PACHECO lopezpac@i3s.unice.fr

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Tutoriel DNSSEC. Stéphane Bortzmeyer, AFNIC. Présenté par : JRES Nantes, 4 décembre {Stephane.Bortzmeyer,Mohsen.Souissi}@afnic.

Installation Serveur DNS Bind9 Ubuntu LTS

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

Gilles GUETTE IRISA Campus de Beaulieu, Rennes Cedex, France

Domain Name System. F. Nolot

Domaine Name System. Auteur: Congduc Pham, Université Lyon 1. Figure 1: Schéma des salles TP11 et TD4

Domain Name System ot ol F. N 1

Il est possible d associer ces noms aux langages numérique grâce à un système nommé DNS(Domain Name System)

1 Présentation du module sr005 2 I Administration d un serveur DNS... 2 II Organisation... 2

Réseaux. DNS (Domaine Name System) Master Miage 1 Université de Nice - Sophia Antipolis. (second semestre )

DNSSEC. Que signifie DNSSEC? Pourquoi a-t-on besoin de DNSSEC? Pour la sécurité sur Internet

DNS. Pierre BETOUIN ( betouin@et.esiea.fr ) 31 mars

Master d'informatique 1ère année Réseaux et protocoles

Domain Name System. Schéma hiérarchique. Relation

Nommage et adressage dans Internet

Protocoles DHCP et DNS

Sécurisation du DNS : Les extensions DNSsec

Le service de nom : DNS

Aperçu des activités R&D de l Afnic. JCSA Paris 16/05/2014

Réseaux. 1 Généralités. E. Jeandel

DNS et Mail. LDN 15 octobre DNS et Mail. Benjamin Bayart, Fédération FDN. DNS - fichier de zone. DNS - configuration

Ce cours est la propriété de la société CentralWeb. Il peut être utilisé et diffusé librement à des fins non commerciales uniquement.

Bind, le serveur de noms sous Linux

Protection des protocoles

Résolution de nom avec Bind

DNS : Domaine Name System

- FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian

Chapitre 2: Configuration de la résolution de nom

Plan. Programmation Internet Cours 3. Organismes de standardisation

SECURIDAY 2013 Cyber War

Construction d un fichier de zone Déboguage et dépannage

Internet Le service de noms - DNS

Résolution de noms. Résolution de noms

Teste et mesure vos réseaux et vos applicatifs en toute indépendance

TP de réseaux : Domain Name Server.

Algorithmique et langages du Web

Administration réseau Résolution de noms et attribution d adresses IP

NOTICE INSTALLATION. ARCHANGE WebDAV Office N&B/Couleur KONICA MINOLTA BUSINESS SOLUTIONS FRANCE

Manuel de l utilisateur

ANF Datacentre. Jonathan Schaeffer Monitoring Environnemental Ad-Hoc. J. Schaeffer. Intro. Dans mon rack.

La Voix sur IP. Études des solutions logicielles. Open Source

M Architecture des réseaux

B1-4 Administration de réseaux

Kerberos/AD/LDAP/Synchro

TUNIS LE : 20, 21, 22 JUIN 2006

RFC 7230 : Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing

Le Protocole DHCP. Module détaillé

Internet Protocol. «La couche IP du réseau Internet»

Détection d'intrusions et analyse forensique

Domain Name Service (DNS)

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

CENTRALE TELESURVEILLANCE VIA INTERNET WEB

Chapitre IX : Virtualisation

DNS pair- à- pair début

Systèmes et Réseaux (ASR 2) - Notes de cours Cours 14

Les clés d un réseau privé virtuel (VPN) fonctionnel

16 TCP Les protocoles d application 16.1 Intégration verticale

Domain Name System : Attaques et sécurisation

Domain Name Service (DNS)

M1 Informatique, Réseaux Cours 9 : Réseaux pour le multimédia

Service de noms des domaines (Domain Name System) Cours administration des services réseaux M.BOUABID,

Les Serveurs sous Linux

NOTICE INSTALLATION. ARCHANGE Simplex Office N&B/Couleur KONICA MINOLTA BUSINESS SOLUTIONS FRANCE

Mesures DNS à l ère du Big Data : outils et défis. JCSA, 9 juillet 2015 Vincent Levigneron, Afnic

DIFF AVANCÉE. Samy.

TD n o 8 - Domain Name System (DNS)

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

1 DHCP sur Windows 2008 Server Introduction Installation du composant DHCP Autorisation d'un serveur DHCP...

Complémentarité de DNSsec et d IPsec

La haute disponibilité dans la vraie vie

Outils de l Internet

TP HTTP. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

Transcription:

Le mystère DNS Free rebondit Stéphane Bortzmeyer <stephane+blog@bortzmeyer.org> Première rédaction de cet article le 24 avril 2016 J ai déjà parlé ici <http://www.bortzmeyer.org/free-noblogs-dnssec.html> de la bogue DNS de Free affectant certains domaines signés avec DNSSEC. Six mois après, elle n a pas été réparée et le problème se montre en fait encore plus complexe qu à première vue. Le problème a été signalé sur la liste FRnog et analysé par Rémy Duchet. En gros, certains usagers de Free n arrivent pas à aller en. Si on regarde avec dig, on voit bien un problème DNS (ici, j interroge explicitement un des résolveurs DNS officiels de Free, puisque j ai un résolveur local <http://www. bortzmeyer.org/son-propre-resolveur-dns.html>) : % dig @212.27.40.240 test-yann.myshopify.com ; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> @212.27.40.240 test-yann.myshopify.com ; (1 server found) ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 393 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; Query time: 27 msec ;; SERVER: 212.27.40.240#53(212.27.40.240) ;; WHEN: Sun Apr 24 17:00:03 CEST 2016 ;; MSG SIZE rcvd: 52 Ah, en effet, nous avons un problème (SERVFAIL = Server Failure ). Avec d autres résolveurs de Free, pas de problème. Et ça varie dans le temps (en d autres termes, des fois, ça marche, des fois, ça marche pas). On peut également tester avec les sondes RIPE Atlas <http://www.bortzmeyer.org/ atlas-udm.html>, dans l AS de Free, 12322 : 1

2 % atlas-resolve -r 500 --as 12322 -t A test-yann.myshopify.com [ERROR: SERVFAIL] : 61 occurrences [23.227.38.68 23.227.38.69 23.227.38.70 23.227.38.71] : 133 occurrences [TIMEOUT(S)] : 1 occurrences Test #3682131 done at 2016-04-24T14:57:13Z Cela montre bien que certains résolveurs de Free ont le problème SERVFAIL mais pas tous. Si on essaie avec l option +cd ( Checking Disabled, couper la validation DNSSEC), tout marche : % dig +cd @212.27.40.240 test-yann.myshopify.com ; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> +cd @212.27.40.240 test-yann.myshopify.com ; (1 server found) ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18276 ;; flags: qr rd ra cd; QUERY: 1, ANSWER: 22, AUTHORITY: 4, ADDITIONAL: 1 ;; ANSWER SECTION:

3 shops.shopify.com. 1800 IN A 23.227.38.71 shops.shopify.com. 1800 IN A 23.227.38.69 shops.shopify.com. 1800 IN A 23.227.38.70 shops.shopify.com. 1800 IN A 23.227.38.68 ;; AUTHORITY SECTION: shopify.com. 6458 IN NS ns4.p19.dynect.net. shopify.com. 6458 IN NS ns3.p19.dynect.net. shopify.com. 6458 IN NS ns1.p19.dynect.net. shopify.com. 6458 IN NS ns2.p19.dynect.net. ;; Query time: 41 msec ;; SERVER: 212.27.40.240#53(212.27.40.240) ;; WHEN: Sun Apr 24 17:44:13 CEST 2016 ;; MSG SIZE rcvd: 2376 On a la réponse mais on voit bien qu il y a un problème : ces enregistrements DNS CNAME ( Canonical Name ) répétés ne sont pas normaux. Il ne sont pas dans les serveurs faisant autorité pour le domaine : % dig @ns1.p19.dynect.net test-yann.myshopify.com ; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> @ns1.p19.dynect.net test-yann.myshopify.com ; (2 servers found)

4 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7499 ;; flags: qr aa rd; QUERY: 1, ANSWER: 3, AUTHORITY: 3, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; ANSWER SECTION: test-yann.myshopify.com. 600 IN CNAME shops.shopify.com. test-yann.myshopify.com. 600 IN RRSIG CNAME 5 2 600 ( test-yann.myshopify.com. 600 IN RRSIG CNAME 5 2 600 ( ;; AUTHORITY SECTION: test-winkel.myshopify.com. 60 IN NSEC test1012345.myshopify.com. CNAME RRSIG NSEC test-winkel.myshopify.com. 60 IN RRSIG NSEC 5 3 60 ( BHS+QE4Pdu0qFdTW2XHN4Z6mbiqu3eb89UhwO3f5/C7W vpqmlnemuynlulahguwbxvcwmdr+9k0bvzuizh0uuscp pvexwvyzr6njjcry5czoujy6c60dyt1lfw2kcntxudjx Vp8HwMlKN0np6jxe2o/ryU/BphzdYA1OEmqp9/0= ) test-winkel.myshopify.com. 60 IN RRSIG NSEC 5 3 60 ( I8LqnvjOSLhivVteqv6gqeeytZ9YZU9heYIj/hNfYUz+ voq2pqbck7n0ujbi9vwpfkj+3ysnnsxbshxjvzfwqolp Cpde8Ir+zP8WK95/04VQBpU1HjI7QBAARkPCD0YCnTBY U/hTVe6gcB43c9CFAUaJ5qynRmnTZFIsvtcGBz8= ) ;; Query time: 22 msec ;; SERVER: 2001:500:90:1::19#53(2001:500:90:1::19) ;; WHEN: Sun Apr 24 17:45:54 CEST 2016 ;; MSG SIZE rcvd: 831 Donc, ce sont les résolveurs de Free qui les ont inventé. La bogue est clairement de la responsabilité de Free. Dans mon article précédent <http://www.bortzmeyer.org/free-noblogs-dnssec.html>, j avais émis l hypothèse que le problème était lié à l utilisation de NSEC3 (RFC 5155 1 ) et des jokers. Ici, la zone est signée avec NSEC, pas NSEC3 (ce qui est curieux, d ailleurs, puisque cela permet de connaitre la liste des clients de shopify.com), donc NSEC3 ne semble pas responsable. On retrouve par contre les jokers, dont l interaction avec DNSSEC est régulièrement une source d ennuis. D une façon ou d une autre, une combinaison de caractéristiques de la zone myshopify.com déclenche la bogue, multiplie les CNAME (la réponse du résolveur de Free a une taille supérieure à la MTU d Ethernet...), l enregistrement NSEC obligatoire est supprimé, et paf. 1. Pour voir le RFC de numéro NNN, http://www.ietf.org/rfc/rfcnnn.txt, par exemple http://www.ietf.org/ rfc/rfc5155.txt

5 En résumé, je ne sais pas quel logiciel résolveur utilise Free (aucun des logiciels que je connais, comme Unbound ou BIND, ne montre ce comportement) mais il est bogué et devrait impérativement être réparé, si on veut que DNSSEC soit plus largement utilisé. Et du côté de l utilisateur ordinaire, que peut-on faire? Le client final peut utiliser son propre résolveur <http://www.bortzmeyer.org/son-propre-resolveur-dns.html> (ce qui est une bonne idée, de toute façon), le webmestre qui veut publier des choses accessibles aux utilisateurs de Free ne peut pas grand chose, à part peut-être configurer sa zone DNS de manière plus conservatrice (les jokers sont presque toujours une mauvaise idée).

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back