Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 04/07/2023 à 11:23, Stephane Bortzmeyer a écrit : Mais rien à voir entre le fait de poser la question en IPv4 et de recevoir une adresse IPv4 en réponse. (Cf. mon exemple avec dig.) Tiens, un truc marrant : j'ai essayé dig +short ovh.com : apparemment je ne suis pas le seul à ne pas mettre d' :-) Et ça marche aussi avec impots.gouv.fr ou urssaf.fr… Et il faut plus de ressources pour filtrer jusqu'à 2^64 adresses que 0 (zéro) adresses. Une ligne dans la conf, c'est davantage que zéro, on est d'accord. Mentionner "2^64" est juste de la réthorique. Ah mais développer un traitement c'est pas juste "ajouter des lignes dans la conf" :-\ Sans parler du fait que le traitement d'adresses de 128 bits, même si on ignore les 64 bits de poids faible, est nécessairement plus lourd que celui d'adresses de 32 bits seulement. Euh, ça dépend complètement des processeurs/ASIC qu'on a. Sur un processeur 16 bits, traiter 16 bits n'a jamais été plus long que d'en traiter 8 :-) Tout à fait : une IPv4 se traite tout entière dans un seul registre sur un processeur 64 bits (on pourrait même en traiter deux à la fois) mais une IPv6 non. Et mes serveurs ne sont pas équipés de processeurs 128 bits. Il n'y a pas que les traitements au niveau du processeur ; mémoriser les IPv6 bloquées prend plus de place que pour des IPv4 (quelque soit le processeur). Mais les pirates qui attaquent en IPv6 ont potentiellement 2^32 fois plus d'adresses IP à leur disposition que s'ils attaquent en IPv4. D'autant plus qu'il reste peu d'adresses IPv4 disponibles, qu'elles sont de plus en plus chères alors que les IPv6 sont abondantes et gratuites. Donc traiter les IPv6 expose un serveur à plus d'attaques /potentielles/ et va donc nécessiter d'avantages de ressources. C'est de la pure théorie. La réalité des réseaux du vrai monde ne montre pas ça (pirates paresseux et incompétents, qui ne se donnent même pas la peine d'essayer en IPv6). La réalité que j'observe est qu'il y a déjà des attaques en IPv6. Beaucoup moins, certes, mais il y en a, y compris des salves qui utilisent différents /64. Je ne dois pas être dans le vrai monde :-( Et sinon, je suis quand même conscient que l'avenir de l'IPv4 est très compromis. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 04/07/2023 à 11:17, Dominique Rousseau a écrit : Le Tue, Jul 04, 2023 at 11:07:50AM +0200, Laurent Barme [5...@barme.fr] a écrit: (...) En fait, c'est moins l'adresse de transport de la requête qui m'intéresse que son résultat. Celui-ci dépend bien sûr du DNS sollicité mais aussi de l'adresse de transport de la requête. Non, c'est faux. Ah bon. Un poste qui n'a qu'une IPv4 va bien faire une requête en IPv4, non ? Et peu importe que le DNS sollicité (ou le résolveur final) ait aussi une IPv6, il va bien recevoir une IPv4, non ? Un poste qui n'a qu'une ipv4 va faire une requete sur ipv4 a son resolveur. Le resolveur, lui, peut tres bien faire la requete vers le serveur faisant autorite sur ipv6. Et il est fort probable que le poste n'ayant que de l'ipv4 va effectuer une requete "A" pour obtenir une reponse contenant une ipv4, pour l'usage courant. Mais rien ne l'empecherait de faire une requete demandant un "" pour obtenir une reponse contenant une ipv6, dont il ne saurait pas faire grande chose pour la suite :) Tout à fait d'accord ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le Tue, Jul 04, 2023 at 11:07:50AM +0200, Laurent Barme [5...@barme.fr] a écrit: (...) > >>En fait, c'est moins l'adresse de transport de la requête qui > >>m'intéresse que son résultat. Celui-ci dépend bien sûr du DNS > >>sollicité mais aussi de l'adresse de transport de la requête. > >Non, c'est faux. > Ah bon. Un poste qui n'a qu'une IPv4 va bien faire une requête en > IPv4, non ? > Et peu importe que le DNS sollicité (ou le résolveur final) ait aussi > une IPv6, il va bien recevoir une IPv4, non ? Un poste qui n'a qu'une ipv4 va faire une requete sur ipv4 a son resolveur. Le resolveur, lui, peut tres bien faire la requete vers le serveur faisant autorite sur ipv6. Et il est fort probable que le poste n'ayant que de l'ipv4 va effectuer une requete "A" pour obtenir une reponse contenant une ipv4, pour l'usage courant. Mais rien ne l'empecherait de faire une requete demandant un "" pour obtenir une reponse contenant une ipv6, dont il ne saurait pas faire grande chose pour la suite :) -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 6 rue des Hautes cornes - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 04/07/2023 à 10:24, Stephane Bortzmeyer a écrit : … Non. Je répète : la famille de l'adresse retournée dépend de la famille demandée (A pour IPv4 et pour IPv6) et en aucun cas du protocole de transport. Ok mais pour un poste qui n'a qu'une IPv4, va-t-il demander une IPv6 ? Que pourrait-il faire d'une résolution qui lui retourne une IPv6 ? … En fait, c'est moins l'adresse de transport de la requête qui m'intéresse que son résultat. Celui-ci dépend bien sûr du DNS sollicité mais aussi de l'adresse de transport de la requête. Non, c'est faux. Ah bon. Un poste qui n'a qu'une IPv4 va bien faire une requête en IPv4, non ? Et peu importe que le DNS sollicité (ou le résolveur final) ait aussi une IPv6, il va bien recevoir une IPv4, non ? Il y a bien une résolution IPv4 ou IPv6 qui dépende des OS et ISP, ce qui explique des comportements différents selon le contexte (OS/ISP) lorsqu'un nom de domaine contacté a simultanément une adresse IPv4 et une adresse IPv6. Cela dépend entièrement du type de données demandé. C'est ça et je parie qu'un poste qui n'a qu'une IPv4 va demander l'A du nom de domaine et pas l'. … (d'autant plus que le serveur en question n'a pas IPv6, ce qui lui épargne potentiellement 2^64 sources d'attaques à filtrer). Euh, quand vous voulez filtrer un /64, vous mettez 2^64 adresses dans votre configuration ? Cet argument a vraiment du mal à passer :-\ Ce n'est pas un problème de réseau mais de traitement. Je reformule : Un serveur qui traite de l'IPv6 va devoir filtrer /potentiellement/ jusqu'à 2^64 adresses (par /64). Jusque là, on est d'accord ? Un serveur qui ne traite pas d'IPv6 n'a _aucune_ IPv6 à filtrer. On est toujours d'accord ? Et il faut plus de ressources pour filtrer jusqu'à 2^64 adresses que 0 (zéro) adresses. Dis autrement, il faut plus de ressource pour un traitement qui fait quelque chose que pour pas de traitement du tout :-) Sans parler du fait que le traitement d'adresses de 128 bits, même si on ignore les 64 bits de poids faible, est nécessairement plus lourd que celui d'adresses de 32 bits seulement. Alors oui, dans les deux cas, on ne "met pas dans la configuration" 2^32 ni 2^64 adresses. Mais les pirates qui attaquent en IPv6 ont potentiellement 2^32 fois plus d'adresses IP à leur disposition que s'ils attaquent en IPv4. D'autant plus qu'il reste peu d'adresses IPv4 disponibles, qu'elles sont de plus en plus chères alors que les IPv6 sont abondantes et gratuites. Donc traiter les IPv6 expose un serveur à plus d'attaques /potentielles/ et va donc nécessiter d'avantages de ressources. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 02/07/2023 à 18:33, Stephane Bortzmeyer a écrit : On Wed, Jun 28, 2023 at 04:28:24PM +0200, Laurent Barme <5...@barme.fr> wrote a message of 73 lines which said: https://www.dnsleaktest.com/ Même pas d'IPv6 dans ces tests. Effectivement, bgp.tools est mieux, merci Willy. … Autre rappel : il n'y a aucun rapport entre l'adresse de transport de la requête DNS (IPv4 ou IPv6) et le type de données demandé (A ou ). L'adresse de transport de la requête DNS dépend quand même de ce que peut faire le poste : s'il n'a pas d'IPv6, la requête se fera seulement en IPv4 et l'adresse retournée sera une IPv4 (heureusement). En fait, c'est moins l'adresse de transport de la requête qui m'intéresse que son résultat. Celui-ci dépend bien sûr du DNS sollicité mais aussi de l'adresse de transport de la requête. Il y a bien une résolution IPv4 ou IPv6 qui dépende des OS et ISP, ce qui explique des comportements différents selon le contexte (OS/ISP) lorsqu'un nom de domaine contacté a simultanément une adresse IPv4 et une adresse IPv6. Depuis un mobile android/Free, je constate avec bgp.tools que je n'ai pas d'IPv6. Les requêtes DNS sont donc servies en IPv4 et le mobile peut accéder à un site pourvu d'une A et d'une mais qui n'écoute que sur l'A. Depuis un mobile iOS/Orange, je constate avec bgp.tools que j'ai une IPv4 et une IPv6. Les requêtes DNS sont donc a priori servies en IPv6 et le mobile ne peut pas accéder à un site pourvu d'une A et d'une mais qui n'écoute que sur l'A. Alors, on est d'accord, ce qui ne va pas c'est le site pourvu d'une A et d'une mais qui n'écoute que sur l'A. Dans cette situation, la solution la plus simple pour moi est de supprimer l' pour le nom de domaine (d'autant plus que le serveur en question n'a pas IPv6, ce qui lui épargne potentiellement 2^64 sources d'attaques à filtrer). --- Liste de diffusion du FRnOG http://www.frnog.org/