Re: [FRnOG] Re: [TECH] Requete DNS A pour un sous-domaine

Mon, 02 Dec 2024 08:45:28 -0800 


Le 02/12/2024 à 16:24, Stephane Bortzmeyer via frnog a écrit :

On Mon, Dec 02, 2024 at 04:14:03PM +0100,
  Thierry Chich<thierry.ch...@ac-clermont.fr> wrote
  a message of 16 lines which said:


Par curiosité, vous savez s'il y a une raison particulière qui
ferait qu'ayant un sous-domaine de type sous-dom.dom.fr, je vois
passer beaucoup de requête A pour le nom sous-dom.dom.fr ?

Rappel : fr, dom.fr et sous-dom.dom.fr sont tous des noms de
domaine. Ils peuvent tous avoir un ou plusieurs enregistrements de
type A et ces requêtes n'ont donc rien d'extraordinaire.


Oui, bien sûr, mais encore faut-il en avoir besoin.


Les NS sur ce domaine, ou bien les A sur les nsX.sous-dom.dom.fr,
ok, mais pourquoi sous-dom.dom.fr ?

Notez également que le client DNS (le résolveur, par exemple), ne sait
pas à l'avance si sous-dom.dom.fr est délégué ou pas (rien dans le nom
ne l'indique) et il doit donc, dans le doute, essayer.

Oui, mais  je ne voudrais pas me tromper : on est d'accord que si on 
cherche toto.sous-dom.dom.fr, on a aucune raison d'aller demander un A 
sous-dom.dom.fr

Enfin, la "QNAME minimisation" brouille encore le problème (A étant
désormais le type conseillé pour les requêtes).


Ah ! V'la autre chose. Je viens de tomber sur ton blog.


J'avoue que j'ignorais qu'on envoyait systématiquement la requete 
complète aux root servers. J'imagine dans un but d'optimisation ? En 
tout cas, c'est pas mal de supprimer ça. Mais en revanche, après, avec 
le type, je trouve qu'on est dans le bizarre.



"Le but de la QNAME minimisation étant la protection de la vie privée, 
il vaut mieux ne pas se distinguer et, notamment, ne pas dire 
franchement qu'on fait de la QNAME minimisation (les requêtes explicites 
pour le type NS étaient rares). Un serveur faisant autorité, ou un 
surveillant qui espionne le trafic, ne peut donc pas déterminer 
facilement si un client fait de la QNAME minimisation."


On envoie du A à la place du NS parce que comme ça c'est plus furtif ?


Ca veut dire qu'il va falloir faire à terme un enregistrement A 
sous-dom.dom.fr parce que pour être furtif, on ne demandera plus les NS 
? Et si les gens on mis leur site web en dom.fr, ça risque à un moment 
de ne plus marcher car les clients DNS penseront que le NS, c'est le 
site web ?



--

Thierry CHICH


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/






















					Répondre à