Rechercher sur ce blogue

mardi 17 mars 2015

Filtrage DNS




Dernièrement la justice française a décide de bloquer les sites Piratebay et t411 (à l'heure où sont écrites ces lignes, la demande a été faite, la justice n'a pas encore rendu de verdict).
Le site NextImpact en parle : piratebay-bloque-suspendu-t50048.html

D'ici quelques jours, piratebay.se ne devrait donc plus être accessible en France et peut-être aussi t411.me
Le filtrage sera effectué par les FAI (Fournisseurs d'accès Internet) et se fera au niveau des résolutions DNS des adresses concernées.

Cette page explique comment fonctionne ce filtrage.

DISLAIMER : je vous rappelle que le téléchargement d'oeuvre soumis à des droits d'auteurs est interdit et répréhensible par la loi.


Qu'est ce que le filtrage DNS ?

Pour comprendre ce qu'est le filtrage DNS, il faut avoir quelques notions sur le fonctionnement d'un réseau.
Toutes les machines d'un réseaux se voient attribuer une adresse IP (un peu comme une plaque d'immatriculation) qui permet de l'identifier sur le réseau et surtout de la contacter.
Ces adresses sont sous la forme de chiffre par exemple : 192.168.1.1
Vous l'aurez remarqué, ces adresses IPs ne sont pas faciles à retenir.

Dès lors il a été mis en place des adresses litérales plus faciles à retenir :
http://www.google.fr
http://www.malekal.com
ftp.malekal.com
etc

A chaque de ces adresses correspondent une ou plusieurs adresses IPs.
Le travail du service DNS est de faire fonctionner ces correspondances.

Dès lors quand vous tapez http://www.malekal.com - une requête DNS est faite afin de connaître l'adresse IPs qui correspond à cette adresse afin de contacter le serveur malekal.com
Exemple ci-dessous où on demande l'adresse IP correspondant à http://www.google.fr et http://www.malekal.com

Image

Le filtrage DNS consiste donc à empécher de faire correspondre l'adresse littéral à l'adresse IP afin de rendre la connexion vers le serveur impossible.
En général, l'adresse retournée est 0.0.0.0 ou 127.0.0.01 ou un serveur géré par l'administration qui effectue le blocage afin de rediriger les internautes vers un serveur à eux pour afficher une page spécifique.

Notez que ces modifications de DNS peuvent parfois être effectuées par un hébergeur de son propre chef, par exemple, si un serveur est la victime d'une attaque DDoS qui perturbe très fortement le service de l'hébergeur, il peut arriver que l'adresse ciblée soit modifier pour que les ordinateurs zombies qui participent à l'attaque ne le ciblent plus.

Est-il possible de contourner un filtrage DNS ?

Dans le cas d'un filtrage DNS décidé par un pays suite à une décision justice, il est possible de le contourner.
Le filtrage se faisant sur les serveurs DNS des FAI, il suffit d'utiliser des serveurs publiques où le filtrage DNS n'a pas été effectué.
Mais il est tout à fait possible techniquement de bloquer une adresse au niveau mondiale, par exemple, dans le cas d'un malware.

Les deux services publiques et gratuits les plus connus sont : GoogleDNS et OpenDNS.

Il existe deux manières de changer ses DNS :
  • Soit au niveau de la configuration du routeur, ceci devrait s'appliquer à tous les ordinateurs qui utilisent ce routeur. Dans le cas d'une boix en général, ce filtrage n'est pas possible, vous n'avez pas la main.
  • Dans la configuration réseau de chaque ordinateur.

La page suivante explique comment modifier manuellement (second paragraphe) les serveurs DNS de chaque interface réseau : reinitialiser-les-serveurs-noms-dns-t48312.html
Si vous avez du Wifi et filaire, il faut le faire sur la carte Wifi et réseau local.

  • Les adresses DNS des serveurs OpenDNS : 208.67.222.222 et 208.67.220.220
  • Les adresses DNS des serveurs GoogleDNS : 8.8.8.8 et 8.8.4.4

Notez qu'OpenDNS permet grâce à ces DNS d'agir en contrôle parental et bloquer l'accès à sites sites selon la thématique, se reporter à cette page : opendns-controle-parental-t48437.html#p377305
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Source.:

Aucun commentaire: