Ubuntu-fr

commentallezvous

dns 1.1.1.1 vous en pensez quoi ?

bonjour

depuis quelque temps cloudflare annonce , un dns 1.1.1.1  extrêmement rapide et respectueux de la vie privée.
vous en pensez quoi ?
Les échanges DNS sont signés via le protocole DNSSEC , c'est un gage de qualité ?

dns 1111

Dernière modification par commentallezvous (Le 20/08/2018, à 20:13)

alex2423

Re : dns 1.1.1.1 vous en pensez quoi ?

J'en pense que je préfère ::
- effectuer ma résolution de mes requetes en France ou tout du moins en Europe soumis à certaines règles
- et normalement je préfère le faire faire à mon FAI qui est normalement soumis à des clauses de confidentialité par la CNIL

commentallezvous

Re : dns 1.1.1.1 vous en pensez quoi ?

ils s"engagent pourtant je cite  " La vie privée en premier: promis
Nous ne vendrons jamais vos données, elles ne seront pas utilisées pour des publicités ciblées. Point.
Nous n'enregistrerons jamais votre adresse IP (de la façon dont les autres sociétés vous identifient). Et nous ne disons pas cela à la légère. Nous avons retenu KPMG pour vérifier nos systèmes chaque année et s’assurer que nous tenons nos promesses.

Nous ne voulons pas savoir ce que vous faites sur Internet, ce ne sont pas nos affaires, et nous avons pris les mesures techniques nécessaires pour nous assurer que nous ne le pouvons pas."
l'europe , en particuliers la france est-elle plus vertueuse que les autres pays ?

pierrecastor

Re : dns 1.1.1.1 vous en pensez quoi ?

Pour des DNS respectueuses, je conseillerais plus celles de FDN :

https://www.fdn.fr/actions/dns/

Dernière modification par pierrecastor (Le 20/08/2018, à 22:03)

---

Oui c'est bien plus ouf et c'est bien bandant
Courir nu la bite à l'air, courir nue la fouffe au vent
Ludwig von 88 - Fracas

Compte anonymisé

Re : dns 1.1.1.1 vous en pensez quoi ?

1. Si les requettes ne sont pas chiffrées, ton FAI y a accès de toute façon, donc autant prendre le DNS du FAI ...
2. Cloudfare a l'obligation de tout refiler aux agences américaines (si ça ne concerne pas un citoyen américain).
3. Plus généralement parler de vie privée, alors que tout se fait en clair, est une grosse blague.

pierrecastor

Re : dns 1.1.1.1 vous en pensez quoi ?

donc autant prendre le DNS du FAI ...

Sauf que les FAI traditionnel ont déjà censuré sur demande de l'état, thepiratebay, par exemple. il me semble que ça n'était pas le cas de FDN.

Perso, la question du choix des DNS est plus sur la question des DNS menteur et autres censures.

Sinon, y'a aussi unbound :

https://korben.info/installer-serveur-dns-unbound.html

---

Oui c'est bien plus ouf et c'est bien bandant
Courir nu la bite à l'air, courir nue la fouffe au vent
Ludwig von 88 - Fracas

HP

Re : dns 1.1.1.1 vous en pensez quoi ?

depuis quelque temps cloudflare annonce , un dns 1.1.1.1  extrêmement rapide et respectueux de la vie privée.
vous en pensez quoi ?

Que le meilleur DNS, il est hébergé sur une machine en laquelle tu peux faire confiance. Donc chez toi, ou sur un serveur t'appartenant. Internet fonctionne ainsi.

---

cat /dev/urandom >/dev/null 2>&1 #github

Comptesupprimé

Re : dns 1.1.1.1 vous en pensez quoi ?

bonjour

depuis quelque temps cloudflare annonce , un dns 1.1.1.1  extrêmement rapide et respectueux de la vie privée.
vous en pensez quoi ?
Les échanges DNS sont signés via le protocole DNSSEC , c'est un gage de qualité ?

dns 1111

Ils se vantent d'être les plus rapides au monde, sauf que :

$ ping -c4 1.1.1.1
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
64 bytes from 1.1.1.1: icmp_seq=1 ttl=55 time=37.4 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=55 time=38.9 ms
64 bytes from 1.1.1.1: icmp_seq=3 ttl=55 time=38.5 ms
64 bytes from 1.1.1.1: icmp_seq=4 ttl=55 time=37.5 ms

--- 1.1.1.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 37.475/38.121/38.902/0.675 ms

$ ping -c4 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=118 time=36.5 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=118 time=36.3 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=118 time=36.1 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=118 time=37.1 ms

--- 8.8.8.8 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 36.196/36.545/37.150/0.390 ms

bruno

Re : dns 1.1.1.1 vous en pensez quoi ?

Les résultats d'un ping ne prouvent strictement rien…

time dig a ubuntu-fr.org @8.8.8.8
time dig a ubuntu-fr.org @9.9.9.9
time dig a ubuntu-fr.org @1.1.1.1

Si tu veux des résultats synthétiques avec un script, tu peux utiliser namebench par exemple.

Personnellement je n'ai aucune confiance en 1.1.1.1 et je m'en tape puisque j'ai mon propre résolveur pour mon réseau local.
Les seuls résolveurs publics dignes de confiance sont ceux de FDN.

HP

Re : dns 1.1.1.1 vous en pensez quoi ?

Personnellement […] je m'en tape puisque j'ai mon propre résolveur pour mon réseau local.

Idem.

---

cat /dev/urandom >/dev/null 2>&1 #github

commentallezvous

Re : dns 1.1.1.1 vous en pensez quoi ?

bon ok et merci pour les réponses.
vais donc créer mon propre dns , en espérant que ce ne soit pas trop pointu , je ne l'ai jamais fait.....

petite question , il faut obligatoirement installer ubuntu server , pour bind9 ( selon les ragots, c'est le plus utilisé)

Dernière modification par commentallezvous (Le 25/08/2018, à 20:10)

Comptesupprimé

Re : dns 1.1.1.1 vous en pensez quoi ?

Les résultats d'un ping ne prouvent strictement rien…

time dig a ubuntu-fr.org @8.8.8.8
time dig a ubuntu-fr.org @9.9.9.9
time dig a ubuntu-fr.org @1.1.1.1

Si tu veux des résultats synthétiques avec un script, tu peux utiliser namebench par exemple.

Personnellement je n'ai aucune confiance en 1.1.1.1 et je m'en tape puisque j'ai mon propre résolveur pour mon réseau local.
Les seuls résolveurs publics dignes de confiance sont ceux de FDN.

Oups au temps pour moi.

Du coup j'avais pas vu l'outil en ligne https://www.dnsperf.com/#!dns-resolvers et en effet ils sont bien les plus rapides.

Tu (ou quelqu'un) saurais expliquer pourquoi ils sont plus rapides pour une requête DNS mais pas pour un PING ?

HP

Re : dns 1.1.1.1 vous en pensez quoi ?

[…] pour bind9 ( selon les ragots, c'est le plus utilisé)

unbound FTW
http://www.bortzmeyer.org/search?pattern=unbound

---

cat /dev/urandom >/dev/null 2>&1 #github

pierrecastor

Re : dns 1.1.1.1 vous en pensez quoi ?

Jamais fait pour l'instant, mais y'a un tuto de korben sur l'installation de unbound :

https://korben.info/installer-serveur-dns-unbound.html

Ca n'a pas l'air sorcier.

---

Oui c'est bien plus ouf et c'est bien bandant
Courir nu la bite à l'air, courir nue la fouffe au vent
Ludwig von 88 - Fracas

Comptesupprimé

Re : dns 1.1.1.1 vous en pensez quoi ?

Tu (ou quelqu'un) saurais expliquer pourquoi ils sont plus rapides pour une requête DNS mais pas pour un PING ?

Après reflexion le ping traverse tous les routeurs de notre machine au serveur, tandis que les requêtes DNS seraient calculées entre serveurs DNS eux-mêmes.

Compte anonymisé

Re : dns 1.1.1.1 vous en pensez quoi ?

On peut se servir de unbound uniquement pour gérer DNS over TLS et utiliser par exemple securedns.eu ou unicast.censurfridns.dk.
Sécurisé, européens, pas français, pas de logs et pas de censure.

diesel

Re : dns 1.1.1.1 vous en pensez quoi ?

Tu (ou quelqu'un) saurais expliquer pourquoi ils sont plus rapides pour une requête DNS mais pas pour un PING ?

Après reflexion le ping traverse tous les routeurs de notre machine au serveur, tandis que les requêtes DNS seraient calculées entre serveurs DNS eux-mêmes.

TOUT paquet (ICMP, UDP, ou TCP) qui transite entre ta machine et un serveur traverse tous les routeurs situés sur la route entre ta machine et le serveur.

Sauf, que sur les grands backbones, il peut y avoir plusieurs chemins possibles et il n'est pas du tout certain que la route suivie soit la même pour chaque paquet (mais c'est quand-même à la marge en termes de nombre de routeurs traversés).

Une des différences entre ping et une requête dns, c'est que ping, c'est forcement de l'ICMP, alors qu'une requête dns, ça peut être de l'UDP ou du TCP (qui sont des protocoles qui consomment plus de ressources réseau que l'ICMP, surtout TCP).

De plus, pour répondre au ping, le serveur (en tant que puissance de traitement) ne va strictement rien faire (donc, tu vas simplement mesurer le réseau), alors que pour répondre à une requête DNS, il y a du boulot au delà du délai induit par le réseau et que temps de calcul est prépondérant par rapport à l'écart de temps entre une requête ping en ICMP et un échange DNS en UDP (pour ne parler que de ce cas là).

Amicalement.

Jean-Marie

Dernière modification par diesel (Le 02/09/2018, à 12:51)

---

Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Comptesupprimé

Re : dns 1.1.1.1 vous en pensez quoi ?

Tu (ou quelqu'un) saurais expliquer pourquoi ils sont plus rapides pour une requête DNS mais pas pour un PING ?

Après reflexion le ping traverse tous les routeurs de notre machine au serveur, tandis que les requêtes DNS seraient calculées entre serveurs DNS eux-mêmes.

TOUT paquet (ICMP, UDP, ou TCP) qui transite entre ta machine et un serveur traverse tous les routeurs situés sur la route entre ta machine et le serveur.

Sauf, que sur les grands backbones, il peut y avoir plusieurs chemins possibles et il n'est pas du tout certain que la route suivie soit la même pour chaque paquet (mais c'est quand-même à la marge en termes de nombre de routeurs traversés).

Une des différences entre ping et une requête dns, c'est que ping, c'est forcement de l'ICMP, alors qu'une requête dns, ça peut être de l'UDP ou du TCP (qui sont des protocoles qui consomment plus de ressources réseau que l'ICMP, surtout TCP).

De plus, pour répondre au ping, le serveur (en tant que puissance de traitement) ne va strictement rien faire (donc, tu vas simplement mesurer le réseau), alors que pour répondre à une requête DNS, il y a du boulot au delà du délai induit par le réseau et que temps de calcul est prépondérant par rapport à l'écart de temps entre une requête ping en ICMP et un échange DNS en UDP (pour ne parler que de ce cas là).

Amicalement.

Jean-Marie

Cool je comprends bien mieux.

kironux

Re : dns 1.1.1.1 vous en pensez quoi ?

bonjour

depuis quelque temps cloudflare annonce , un dns 1.1.1.1  extrêmement rapide et respectueux de la vie privée.
vous en pensez quoi ?
Les échanges DNS sont signés via le protocole DNSSEC , c'est un gage de qualité ?

dns 1111

Ils se vantent d'être les plus rapides au monde, sauf que :

$ ping -c4 1.1.1.1
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
64 bytes from 1.1.1.1: icmp_seq=1 ttl=55 time=37.4 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=55 time=38.9 ms
64 bytes from 1.1.1.1: icmp_seq=3 ttl=55 time=38.5 ms
64 bytes from 1.1.1.1: icmp_seq=4 ttl=55 time=37.5 ms

--- 1.1.1.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 37.475/38.121/38.902/0.675 ms

$ ping -c4 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=118 time=36.5 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=118 time=36.3 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=118 time=36.1 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=118 time=37.1 ms

--- 8.8.8.8 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 36.196/36.545/37.150/0.390 ms

Je n'arrive personellement pas à sentir les 2 ms de différence. Et une réponse plus complète a également été donnée précédemment.

Personnellement […] je m'en tape puisque j'ai mon propre résolveur pour mon réseau local.

Idem.

Et il va chercher son information chez quoi ton résolveur ?

Par contre, j'aurai plutôt pensé à un résolveur local (comme présenté), mais avec une liste de différents serveurs DNS sur lesquels il va piocher aléatoirement pour ses requêtes.

bruno

Re : dns 1.1.1.1 vous en pensez quoi ?

Et il va chercher son information chez quoi ton résolveur ?

Tu veux dire où va-t-il chercher l'information, je suppose…

Comme les autres résolveurs récursifs : dans son cache s'il connaît déjà la réponse, sur les serveurs DNS faisant autorité sinon.

kironux

Re : dns 1.1.1.1 vous en pensez quoi ?

Oui, c'est ça, c'est plutôt "où" que je voulais dire
Oui, dans le cache, et si il ne l'a pas, il va chercher dans "DNS faisant autorité", qui est... ?

Tu choisis d'utiliser ton serveur DNS perso, mais ton serveur DNS, il doit bien demander à un autre serveur DNS. Donc le problème reste entier.

D'où le fait que je proposais d'utiliser une liste de serveurs DNS "fiables", cela permet de disperser les requêtes DNS
Et je suis preneur pour toute autre idée

bruno

Re : dns 1.1.1.1 vous en pensez quoi ?

Oui, dans le cache, et si il ne l'a pas, il va chercher dans "DNS faisant autorité", qui est... ?

Celui qui fait autorité pour le domaine recherché. Lire : https://fr.wikipedia.org/wiki/Domain_Name_System

Tu choisis d'utiliser ton serveur DNS perso, mais ton serveur DNS, il doit bien demander à un autre serveur DNS. Donc le problème reste entier.

Quel problème ? Il n'y a aucun problème a utiliser son propre résolveur.

kironux

Re : dns 1.1.1.1 vous en pensez quoi ?

Donc tu passes par les serveurs racines ( https://en.wikipedia.org/wiki/Root_name … _addresses ) ?

krodelabestiole

Re : dns 1.1.1.1 vous en pensez quoi ?

perso j'utilise généralement quad9 en principal (9.9.9.9)
et cloudflare en second (1.1.1.1)
principalement par flemme

mais j'hésite globalement avec les DNS du FDN

en tout cas j'évite les DNS de mon FAI, ceux de google ou OpenDNS.

https://en.wikipedia.org/wiki/Quad9
https://www.nextinpact.com/news/105638- … privee.htm

---

nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site

bruno

Re : dns 1.1.1.1 vous en pensez quoi ?

@kironux : oui pour la première requête, ensuite c'est le cache de mon résolveur qui répond instantanément.
Au cas où mon résolveur ne fonctionne plus, j'ai ceux de FDN en solution de repli.