DNS Menteur
Publié le Lundi 28 septembre 2009 · Par placenet
Suite à un « post » sur la liste FRNOG, il semblerait qu'un important fournisseur d'accès à Internet (FAI ou ISP en anglais) français déploie des DNS Menteurs, cela n'est pas sans rappeler l'histoire de SiteFinder opéré par Verisign le « registry » du .com et .net en 2003 ou celle, plus récemment, du cablo-opérateur Comcast.
Qu'est un DNS Menteur ?
Lorsque vous vous connectez pour naviguer sur Internet, vous devez définir au moins un resolveur de nom de domaine (Serveur DNS) dans la configuration de votre ordinateur et/ou box/router Internet. Vous pouvez, comme la plupart des abonnés, le laisser définir dynamiquement par le protocol DHCP et ainsi obtenir les DNS de votre fournisseur ou les fixer manuellement et mettre ceux de votre choix dans la mesure où votre fournisseur ne filtre pas encore le port TCP 53 et que les DNS indiqués, vous permettent d'exécuter des requêtes (résoudre) à partir du réseau où vous trouvez.
Une fois configuré, vous pouvez indiquez dans votre navigateur préféré le nom de domaine sur lequelle vous souhaitez vous rendre en HTTP. Il se peut que vous commettiez une erreur de frappe dans le nom de domaine, alors votre navigateur, si il vous redirige pas lui-même vers une page d'un moteur de recherche, devrait vous indiquer, après avoir interrogé le DNS, que le nom de domaine en question n'existe pas. Mais dans le cas d'un DNS Menteur toute réponse NXDOMAIN (No Such Domain, ce nom de domaine n'existe pas) est remplacée par une réponse NOERROR (comme si le domaine existait vraiment) et une adresse IP où écoute un serveur WEB qui sert de la publicité, source de revenus pour le FAI en question.
Cette pratique pose des problèmes techniques :
- Cette réécriture est conçue uniquement pour un client final qui utilise un navigateur Web. Les autres protocoles, ou bien les clients HTTP non-Web (par exemple les clients REST) récupèrent des adresses qui ne leur servent à rien.
- Ce mensonge empêche le déploiement de toutes les techniques de sécurité du DNS de bout en bout comme DNSSEC.
- Les applications qui testent si une entrée est présente dans le DNS (par exemple les listes noires DNS ou simplement les programmes de détection de liens Web morts) ne peuvent plus fonctionner.
Mais aussi politiques :
- Le titulaire d'un domaine en perd le contrôle puisque le DNS menteur va prétendre que xxxx.wikipedia.org ou zzzz.wikipedia.org existe, bien que l'administrateur de wikipedia.org ne l'ai pas créé.
- Le fait qu'un intermédiaire technique, le FAI, se permette de modifier les données en transit par son système est une violation de la neutralité du réseau.
Ces résolveurs DNS menteurs ont des points communs, mais aussi des grosses différences, avec les jokers (Wildcard ou *) que mettent certains gérants de domaines dans leur zone. Techniquement, les jokers dans un domaine respectent le protocole DNS, les résolveurs menteurs non, donc seuls les premiers sont compatibles avec DNSSEC et politiquement les jokers dans un domaine sont mis par le titulaire du domaine, alors que le résolveur menteur est un tiers qui se permet de modifier les domaines qui ne sont pas à lui. À tout point de vue, les jokers dans un domaine, quoique une mauvaise idée, sont donc « moins graves ». Néanmoins, il est normal de ne pas les déployer.
En résumé, choissiez bien votre FAI ou si vous êtes abonné de Placenet.fr, vous pouvez utiliser nos DNS resolveurs qui sont bien évidement conformes aux règles de l'art et à la neutralité du réseau
(c) Placenet.fr 1997-2009