notes·de·pit | Quand ton serveur DNS te bloque ou te ment

Quand ton serveur DNS te bloque ou te ment

Un serveur dns est un intervenant sensible et majeur d’internet. C’est lui qui fait la résolution de noms c’est-à-dire, c’est lui qui traduit un nom internet — appelé nom de domaine — en une adresse IP. L’adresse IP est — je simplifie un peu — une valeur numérique propre à chaque machine. Si cette adresse IP n’est pas trouvée, je ne peux pas accéder au site internet que je désire joindre.

Par exemple, ce blog a comme adresse IP:

blog.namok.be 213.186.33.5

Il n’existe pas qu’un seul server dns pour le monde entier. Évidemment. Ils sont légion. Il en existe principalement de 2 sortes:

ceux qui ne connaissent rien au départ mais qui ont une bonne mémoire. Ils sont dit à cache seule. Dès qu’on leur demande une IP correspondant à un nom, ils demandent à ceux qui savent et mémorisent l’information — dans une mémoire cache — pendant un certain laps de temps;
ceux qui ont autorité pour une zone. Ceux là répondent directement pour la zone dont ils ont autorité — par exemple .be ou example.org — et demandent — comme les serveurs à cache seule — pour tous les autres noms.

Où trouver ces serveurs dns ?

On les trouve un peu partout car tout le monde peut — et seulement certains le font — avoir son serveur dns. Pratiquement ils se trouvent:

dans la petite boite — ta box — qui permet de te connecter à internet;
chez ton FAI (fournisseur d’accès internet Proximus, Orange…);
chez des sites proposant des dns publics comme Google, Open DNS ou Open Nic Project

Si tu n’as rien fait de particulier, le serveur dns que tu utilises est celui de ta box.

— T’es gentil ! Si je comprends bien, il me suffit de ne rien faire et ça marche.
— Oui mais…
— Je dois continuer de lire ?
— Oui

Tous les serveurs dns ne travaillent pas de la même manière. Tous font cette fameuse résolution de noms et ça, c’est bien. Enfin. Heureusement ! Et puis:

certains collectent des informations sur ceux qui les utilisent comme les serveurs dns publics de Google;
d’autres bloquent des sites web pour que ceux-ci ne soient pas accessibles comme les serveurs dns des FAI et par percolation, celui de ta box (puisqu’il interroge son FAI). Parfois certains font des « erreurs » et bloquent trop large comme Orange ce 17 octobre 2016 et se justifient un peu maladroitement;
et d’autres encore mentent. Carrément ! Comme certains — car ils ne s’en vantent pas trop — FAI ou Cysco Open DNS pour te servir de la publicité par exemple.

Il est donc important de faire confiance en ton serveur dns et choisir un serveur qui respecte la neutralité du réseau.

Le mieux — mais pas le plus simple, le plus simple étant de ne rien faire — si tu utilises linux est d’installer ton serveur dns sur ta machine d’un coup de

apt install bind9

et de dire ensuite que ton serveur dns se trouve à l’adresse — locale — 127.0.0.1 ¹.

Si tu utilises MS Windows, tu es foutu ². Plus sérieusement, tu peux choisir un serveur dns public autre que celui de ta box ou de ton FAI tel que celui de Open nic s’il supporte la charge ou Cysco OpenDNS ou Google mais qui sont (probablement) menteurs. Si tu utilises MS Windows, tu devras choisir entre un dns menteur ou un dns qui te bloques…

Crédit photo chez Gratisography. Cet article fait suite à « l’affaire Orange » qui a bloqué google.fr, fr.wikipedia.org… pendant une heure ce lundi 17 octobre 2016. Ce problème repose la question de la neutralité du réseau.

Il faudra lui dire très souvent — dans /etc/resolv.conf — car le serveur dhcp écrasera cette configuration ou bien via le client graphique wicd par exemple ou encore en éditant /etc/resolvconf/resolv.conf.d/head (merci Bortzmeyer). ↩
Mais tu le savais déjà. hashtag LOL ↩