On Fri, Nov 19, 2021 at 05:13:53PM +0100,
 Pierre Colombier via frnog <frnog@frnog.org> wrote 
 a message of 45 lines which said:

> Ah bon ? c'est pas comme ça depuis le tout début de DNS ?

C'est comme ça dans les vidéos sur YouTube mais pas dans la
réalité. La section 1 du RFC 7816 explique cela (avec la conversation
avec Mockapetris dans un café).

Donc, non, au contraire, même aujourd'hui, la majorité des résolveurs
des FAI français ne fait pas de minimisation des requêtes.

> Un petit coup de wireshark plus tard, et il semble "à l'oeil" que
> mon résolveur soit déjà conforme à RFC7816.

Parfait.

> pourtant, un
> 
> rgrep 'qname' /etc/bind
> 
> ne renvoie rien

Il me semble que cette minimisation est par défaut dans BIND. "The
current default is relaxed, but it may be changed to strict in a
future release." dit l'ARM
<https://bind9.readthedocs.io/en/latest/reference.html?highlight=qname%20minimization#options-statement-grammar>

> c'est quand même curieux ce modèle où on fait davantage confiance au
> résolveur qu'aux serveurs racine

La question n'est pas là. Le résolveur doit voir la question
complète. Les serveurs racine ne le doivent pas donc on ne leur donne
pas. C'est le principe de la minimisation: "only on a need-to-know
basis".

> alors que c'est quand même le résolveur qui est à la fois le plus
> intéressé et le plus en mesure de faire une association entre l'ip
> source d'une requête et un nom d'utilisateur.

Mais on peut choisir son résolveur, alors qu'on ne peut pas choisir
les serveurs faiant autorité.

> Alors que de son coté le serveur racine (ou d'un TLD, ou d'une domaine
> particulier) ne voit que l'ip source du résolveur.

Et ECS, alors ? 

> On trouvera sans doute quelques contre-exemples mais dans le cas général,
> j'ai du mal à voir le problème qu'il y a à savoir que 1 des N clients de ce
> FAI a voulu consulter www.train.paris ? et pas seulement quelque chose de
> "paris".

D'abord, il y a des résolveurs avec une petite population
d'utilisateurs. Ensuite, des tas de noms sont bien plus révélateurs
que "www.train.paris": en faisant des tcpdump ou équivalents sur un
serveur faisant autorité, c'est fou ce qu'on trouve (machines portant
le nom d'un employé, application cherchant un pair BitTorrent, etc).


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à