On Fri, Nov 19, 2021 at 05:13:53PM +0100, Pierre Colombier via frnog <frnog@frnog.org> wrote a message of 45 lines which said:
> Ah bon ? c'est pas comme ça depuis le tout début de DNS ? C'est comme ça dans les vidéos sur YouTube mais pas dans la réalité. La section 1 du RFC 7816 explique cela (avec la conversation avec Mockapetris dans un café). Donc, non, au contraire, même aujourd'hui, la majorité des résolveurs des FAI français ne fait pas de minimisation des requêtes. > Un petit coup de wireshark plus tard, et il semble "à l'oeil" que > mon résolveur soit déjà conforme à RFC7816. Parfait. > pourtant, un > > rgrep 'qname' /etc/bind > > ne renvoie rien Il me semble que cette minimisation est par défaut dans BIND. "The current default is relaxed, but it may be changed to strict in a future release." dit l'ARM <https://bind9.readthedocs.io/en/latest/reference.html?highlight=qname%20minimization#options-statement-grammar> > c'est quand même curieux ce modèle où on fait davantage confiance au > résolveur qu'aux serveurs racine La question n'est pas là. Le résolveur doit voir la question complète. Les serveurs racine ne le doivent pas donc on ne leur donne pas. C'est le principe de la minimisation: "only on a need-to-know basis". > alors que c'est quand même le résolveur qui est à la fois le plus > intéressé et le plus en mesure de faire une association entre l'ip > source d'une requête et un nom d'utilisateur. Mais on peut choisir son résolveur, alors qu'on ne peut pas choisir les serveurs faiant autorité. > Alors que de son coté le serveur racine (ou d'un TLD, ou d'une domaine > particulier) ne voit que l'ip source du résolveur. Et ECS, alors ? > On trouvera sans doute quelques contre-exemples mais dans le cas général, > j'ai du mal à voir le problème qu'il y a à savoir que 1 des N clients de ce > FAI a voulu consulter www.train.paris ? et pas seulement quelque chose de > "paris". D'abord, il y a des résolveurs avec une petite population d'utilisateurs. Ensuite, des tas de noms sont bien plus révélateurs que "www.train.paris": en faisant des tcpdump ou équivalents sur un serveur faisant autorité, c'est fou ce qu'on trouve (machines portant le nom d'un employé, application cherchant un pair BitTorrent, etc). --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/