http://www.bortzmeyer.org/go-daddy-down.html
---------------------------- Go Daddy est de loin le plus gros bureau d'enregistrement de .com et de nombreux autres TLD. Il sert aussi d'hébergeur DNS. Ce soir, tous leurs serveurs de noms sont injoignables, entraînant l'impossibilité de joindre des millions de noms de domaine, et donc les serveurs situés derrière. C'est l'une des plus grandes pannes qu'ait jamais connu le DNS. Elle illustre une nouvelle fois l'importance de s'assurer de la *résilience* de son service DNS, notamment par le biais de la *redondance*. Il est 19h00 UTC et la panne dure depuis déjà un certain temps (premier signalement sur la liste "outages" vers 18h00 UTC). Prenons un hasard un nom de domaine hébergé chez Go Daddy, 1stoptr.com. Tentons une interrogation : % dig A 1stoptr.com ; <<>> DiG 9.8.1-P1 <<>> A 1stoptr.com ;; global options: +cmd ;; connection timed out; no servers could be reached Pas de réponse. Qu'arrive-t-il aux serveurs de noms ? Demandons au parent (VeriSign) les serveurs de noms de 1stoptr.com : % dig @a.gtld-servers.net NS 1stoptr.com ; <<>> DiG 9.8.1-P1 <<>> @a.gtld-servers.net NS 1stoptr.com ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38711 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 3 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 512 ;; QUESTION SECTION: ;1stoptr.com. IN NS ;; AUTHORITY SECTION: 1stoptr.com. 172800 IN NS wsc1.jomax.net. 1stoptr.com. 172800 IN NS wsc2.jomax.net. ... ;; ADDITIONAL SECTION: wsc1.jomax.net. 172800 IN A 216.69.185.1 wsc2.jomax.net. 172800 IN A 208.109.255.1 Ces deux serveurs sont bien chez Go Daddy comme on peut le vérifier avec whois : % whois 216.69.185.1 # # The following results may also be obtained via: # http://whois.arin.net/rest/nets;q=216.69.185.1?showDetails=true&showARIN=false&ext=netref2 # NetRange: 216.69.128.0 - 216.69.191.255 CIDR: 216.69.128.0/18 OriginAS: NetName: GO-DADDY-COM-LLC NetHandle: NET-216-69-128-0-1 Parent: NET-216-0-0-0-0 NetType: Direct Allocation ... Et ils ne répondent pas : % dig @216.69.185.1 A 1stoptr.com ; <<>> DiG 9.7.3 <<>> @216.69.185.1 A 1stoptr.com ; (1 server found) ;; global options: +cmd ;; connection timed out; no servers could be reached Et, surtout, c'est la même chose pour tous les serveurs de noms de Go Daddy. Le domaine de l'hébergeur lui-même, godaddy.com n'est pas davantage accessible : % dig +nodnssec +nssearch godaddy.com ; <<>> DiG 9.7.3 <<>> +nodnssec +nssearch godaddy.com ;; global options: +short +cmd ;; connection timed out; no servers could be reached Et comme pas de DNS égal pas de Web, ni d'autres services, on voit l'ampleur de la panne... Que s'est-il passé ? À l'heure actuelle (19h30 UTC), on ne sait pas vraiment. Une personne se prétendant Anonymous a revendiqué l'action. Mais sans donner aucun détail technique, il est donc difficile de savoir si c'est vrai. Pourquoi Anonymous aurait-il attaqué Go Daddy ? Peut-être parce qu'ils aiment les éléphants <http://www.huffingtonpost.com/2011/03/31/bob-parsons-godaddy-ceo-elepha nt-hunt_n_843121.html> ? Ou parce qu'ils sont choqués des publicités de mauvais goût de Go Daddy, à base de pinups vulgaires en bikini ? Mais Go Daddy est aussi connu pour son soutien à SOPA (voir Wikipédia), et pour être un des hébergeurs les plus rapides à censurer ses clients lorsque le gouvernement ou l'industrie du divertissement le demande (voir l'affaire JotForm <http://arstechnica.com/tech-policy/2012/02/secret-service-asks-for-shut down-of-legit-website-over-user-content-godaddy-complies/> ou celle de RateMyCop <http://www.wired.com/threatlevel/2008/03/godaddy-silence/>). Comme disent les policiers, il y a donc beaucoup trop de suspects... Autres articles : * "GoDaddy's DNS Servers Down, Taking Thousands of Sites With It <http://mashable.com/2012/09/10/godaddy-down/>" * "GoDaddy Outage Takes Down Millions Of Sites, Anonymous Member Claims Responsibility <http://techcrunch.com/2012/09/10/godaddy-outage-takes-down-millions-of- sites/>" Une amusante ligne de script shell pour détecter si un de vos sites Web dépend de Go Daddy (merci à climagic <https://twitter.com/climagic/>). À exécuter dans le répertoire où se trouve la config Apache : grep ServerName * | grep -io "[a-z0-9-]*\.[a-z]*$" | \ sort -u | while read -r d; do whois $d | grep -q "GODADDY" &&echo $d; done # site check --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/