Bonjour Marc,
Bonjour à tous,

Je mets de coté la discussion sur la résolution inverse, qui ne nous concerne 
pas dans le cas présent. Il n’existe aucun enregistrement PTR pour l’IP 
considérée.


> Consulte l'exemple:
> 
>    http://viewdns.info/reverseip/?host=46.140.72.222&t=1

Je l’avais consulté en lisant ton mail précédent. Mais mon IP n’y faisant 
apparaitre aucun résultat, j’y avais trouvé plutôt confirmation qu’un domaine 
peut rester inconnu à celui qui n’accède au serveur que par sa seule adresse.

Nous parlons ici de home hosting. Apache n’y fait tourner que quelques 
applications web à usage privé. Les domaines dirigeant vers chacun des virtual 
hosts ne sont donc connus que du DNS faisant autorité, mais non du web en 
général.


> En effet, des gens semblent scanner l'ensemble du DNS forward (pas
> reverse) et compiler des bases de données permettant de retrouver
> tous les domaines hébergés sur une adresse IP


C’est une info intéressante (on utilise vraiment beaucoup d’énergie électrique 
pour atteindre des buts discutables de nos jours).

Veux-tu préciser ce que tu entends par « scanner l’ensemble du DNS forward » ? 
J’ai le lointain souvenir qu’au siècle dernier, les DNS étaient ouverts, c’est 
à dire livraient au client qui le leur demandait, la liste complète de tous les 
champs A pour lesquels ils avaient autorité. Le temps m’a fait oublier les 
détails, mais surtout, ce fonctionnement a été abandonné je crois, précisément 
pour éviter que des indiscrets ne reconstruisent un peu trop facilement toute 
une topologie de réseau. Je suppose donc que tu ne fais pas référence à ça, 
quand tu utilises le terme « scan ».

Veux-tu dire que ces bases de données sont alimentées par force brute ou par 
dictionnaire, c’est à dire que pour tout domaine référencé quelque part sur le 
web, des crawlers testent auprès des DNS toutes les combinaisons imaginables de 
sous-domaines ? Si tel est le cas, mon IP n’est pas totalement à l’abri de 
leurs agissements, mais le risque de la voir soudain apparaître sur 
<viewdns.info> ou similaire me paraît pourtant faible.

J’aimerai donc suivre la piste SNI que tu m’as d’abord indiqué. Avez-vous, toi 
ou d’autres personnes du Gull, l’expérience de sa mise en oeuvre ?


Merci.

Frédéric.
_______________________________________________
gull mailing list
gull@forum.linux-gull.ch
http://forum.linux-gull.ch/mailman/listinfo/gull

Répondre à