Le 04/07/2023 à 10:24, Stephane Bortzmeyer a écrit :
…
Non. Je répète : la famille de l'adresse retournée dépend de la
famille demandée (A pour IPv4 et AAAA pour IPv6) et en aucun cas du
protocole de transport.
Ok mais pour un poste qui n'a qu'une IPv4, va-t-il demander une IPv6 ? Que
pourrait-il faire d'une résolution qui lui retourne une IPv6 ?
…
En fait, c'est moins l'adresse de transport de la requête qui
m'intéresse que son résultat. Celui-ci dépend bien sûr du DNS
sollicité mais aussi de l'adresse de transport de la requête.
Non, c'est faux.
Ah bon. Un poste qui n'a qu'une IPv4 va bien faire une requête en IPv4, non ?
Et peu importe que le DNS sollicité (ou le résolveur final) ait aussi une IPv6,
il va bien recevoir une IPv4, non ?
Il y a bien une résolution IPv4 ou IPv6 qui dépende des OS et ISP,
ce qui explique des comportements différents selon le contexte
(OS/ISP) lorsqu'un nom de domaine contacté a simultanément une
adresse IPv4 et une adresse IPv6.
Cela dépend entièrement du type de données demandé.
C'est ça et je parie qu'un poste qui n'a qu'une IPv4 va demander l'A du nom de
domaine et pas l'AAAA.
…
(d'autant plus que le serveur en question n'a pas IPv6, ce qui lui épargne
potentiellement 2^64 sources d'attaques à filtrer).
Euh, quand vous voulez filtrer un /64, vous mettez 2^64 adresses dans
votre configuration ?
Cet argument a vraiment du mal à passer :-\
Ce n'est pas un problème de réseau mais de traitement.
Je reformule :
Un serveur qui traite de l'IPv6 va devoir filtrer /potentiellement/ jusqu'à 2^64
adresses (par /64).
Jusque là, on est d'accord ?
Un serveur qui ne traite pas d'IPv6 n'a _aucune_ IPv6 à filtrer.
On est toujours d'accord ?
Et il faut plus de ressources pour filtrer jusqu'à 2^64 adresses que 0 (zéro)
adresses.
Dis autrement, il faut plus de ressource pour un traitement qui fait quelque
chose que pour pas de traitement du tout :-)
Sans parler du fait que le traitement d'adresses de 128 bits, même si on ignore
les 64 bits de poids faible, est nécessairement plus lourd que celui d'adresses
de 32 bits seulement.
Alors oui, dans les deux cas, on ne "met pas dans la configuration" 2^32 ni 2^64
adresses. Mais les pirates qui attaquent en IPv6 ont potentiellement 2^32 fois
plus d'adresses IP à leur disposition que s'ils attaquent en IPv4. D'autant plus
qu'il reste peu d'adresses IPv4 disponibles, qu'elles sont de plus en plus
chères alors que les IPv6 sont abondantes et gratuites.
Donc traiter les IPv6 expose un serveur à plus d'attaques /potentielles/ et va
donc nécessiter d'avantages de ressources.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
