Risque internet, liste d'adresses IP et serveurs boiteux

Salut à tous !
Nous avions déjà évoqué la fragilité du réseau internet en Europe occidentale. En particulier l'idée de base de sa conception qui est de moins en moins suivie : un réseau de réseaux décentralisé.
Cette notion a depuis longtemps commencé à s'effriter pour voir apparaître la concentration des ressources matérielles et des informations.
Le cas français en fait partie avec la plus grande partie des serveurs concentrée en région parisienne.

[Ce qui suit est simplifié dans la mesure où cela serait vraiment casse-pieds à lire pour un débutant, donc excusez les raccourcis.]

Mais un second problème commence à prendre son importance de nos jours : les serveurs DNS.
Vous les aurez reconnus, ce sont les serveurs de noms de domaines.
Ils réalisent la correspondance entre le nom que vous entrez dans la barre d'adresse (par exemple "le-projet-olduvai.wikiforum.net/" et l'adresse IP du site internet en question.

L'adresse IP est grosso modo comme l'adresse postale d'une personne sur le réseau de la poste : on envoie un courrier et les centres de tri locaux orientent le courrier dans la région adéquate.
Mais avec un serveur DNS, c'est un peu comme si l'on envoyait une requète aux renseignements sur Paris pour retrouver l'adresse de son voisin. C'est pratique....

Pour les serveurs (les sites) les plus importants, cette adresse est souvent statique (elle ne change pas); pour les adresses personnelles, la plupart du temps les 'machin-box' la renouvellent à chaque redémarrage (astuce pour contourner les problèmes de limitation d'une adresse IP).

Lorsque vous tapez une adresse dans la barre d'adresse de votre navigateur favori, un serveur DNS local prend votre requète et la transfère à un serveur DNS racine.
Ce dernier possède la liste et donc les adresses IP des serveurs DNS nationaux.

Par exemple, '.fr' permet d'identifier le pays où transférer la requète et, au grè des ramifications, un dernier serveur DNS fera la correspondance entre le nom de domaine et l'adresse IP de votre destinataire et vous la renverra.

De ceci, on remarque vite la structure très hiérarchisée, en arborescence...ce qui représente un peu le contraire d'une structure internet.

C'est ici que repose la faille principale : il y a 13 serveurs racines dans le monde, et ils sont souvent sujets à des attaques.

Les experts mettent en garde contre les éventuels dysfonctionnements qui, s'ils sont opérés sur les 13 serveurs simultanéments, entraîneraient l'effondrement d'internet.

Pour exemple, prenons celui du 22 octobre 2002. Les 13 serveurs ont été attaqués simultanéments, et 7 sont tombés en panne. Les conséquences ont été jugées de 'faible envergure' puisque les 6 restant ont pu prendre le relais dans une certaine mesure en évitant une catastrophe, mais cela a prouvé qu'un groupe de pirates peut être en mesure de réaliser cette attaque (faite par le procédé de surcharge).
Par ailleurs, il est coutume de rassurer les populations, mais si la technique de surcharge vient à bout de ces serveurs DNS (pas encore d'anycast), que se passera t-il si on annonce à tout le monde qu'une partie du réseau internet est en panne ? Sûrement une surcharge de vérification personnelle...

Il faut bien comprendre que la panne généralisée n'est en fait qu'une panne fictive puisqu'aucune machine autre que les serveurs DNS ne sera en panne, mais que c'est bien juste le système d'adressage qui est mort.

Maintenant que nous avons repéré un risque, celui que plus rien ne fonctionne à cause d'une simple panne DNS (je laisse la manière à chacun : attaque d'un Etat sur un autre comme en Russie ou Chine, d'un groupuscule, d'une entreprise, d'une panne sur les 13 (rappelez vous la base de la Loi de Murphy), d'un virus, d'un complot ...), je propose que l'on ne reste pas comme des nouilles à attendre un ciel plus clément sur notre navigateur, et que l'on puisse l'anticiper dans une certaine mesure.

La procédure est très simple, mais incomplète à l'échelle personelle.
Il suffit que l'on trouve l'adresse IP (qui nous sauvera puisque l'on ne passera pas par les DNS) de tous les sites que l'on juge important.

Pour cela, on peut soit utiliser la commande 'ping' des consoles sous win ou linux, ou alors utiliser internet puisqu'il fonctionne encore, avec les sites tels que dns2ip, où on tape une adresse pour avoir son IP.

Exemple avec la commande ping :
'ping google.fr' on obtient l'adresse '209.85.229.104'

Si l'on recopie cette adresse dans la barre à la place de 'www.gogol.fr', on tombe de suite sur le site, sans passer par le DNS. Avec une connection bas débit, on remarque même une amélioration du temps de connection.
Ensemble, on peut donc réaliser notre propre dictionnaire de correspondance (spécifique à nos envies), de tous les sites qui pourraient représenter un intérêt LLBSV : Olduvaï, moteurs de recherche, préfecture, sites gouvernementaux, messageries,...mais rendus injoignables puisque personne n'aura fait de liste d'IPs.

Afin d'avoir une meilleure lisibilité et ne pas éparpiller les adresses, je propose un certain format pour ce topic :
Vous m'envoyez le nom d'un site et son adresse IP correspondante par MP.
A chaque mess, j'édite ce premier post pour l'ajouter, suivi de votre pseudo (eh voui, il faut quand même que l'on voie que vous avez participé), et enfin d'un tout petit commentaire sur l'intérêt du site (n'oubliez pas de vérifier l'adresse IP).

L'envoi par MP permettra d'avoir des suggestions de tout le monde : inscrits, VIP, non-inscrits, etc...et donc le plus large champ d'opinions.

La liste, pour commencer :

=======================================

AFP ----------195.80.154.35----------- site de l'afp
google --------209.85.229.104--------- moteur de recherche (déconnera LLBSV)
ixquick --------213.144.235.204------ moteur de recherche sécurisé
impots.gouv --145.242.6.153---------- impots en ligne
olduvaï---------X.X.X.X---------pas réussi à trouver sans tomber sur forumactif
wikipedia.fr ----208.80.152.2 ------------ ne fonctionne pas toujours (à optimiser)

=======================================


Après, libre à tous de poster dans ce topic afin de commenter et optimiser le processus...

tarsonis a écrit:C'est ici que repose la faille principale : il y a 13 serveurs racines dans le monde, et ils sont souvent sujets à des attaques.

Salut Tarsonis,
Il n'y a pas 13 serveurs racines, mais réellement 191 serveurs repartis dans le monde. Ils forment 13 adresses "logiques" constitués de grappes qui fonctionnent en anycast, pour éviter le problème que tu décris.
Voir cette page pour le décompte.

Si l'on recopie cette adresse dans la barre à la place de 'www.gogol.fr', on tombe de suite sur le site, sans passer par le DNS.

Le problème est que dans le code html du site tu trouve des liens comme

Code:

<a href="http://images.google.fr/imghp?hl=fr&tab=wi"

Si tu cliques sur le lien tu repasses par une résolution DNS, et la requête tombe en erreur si le serveur DNS ne fonctionne pas.

La solution serait d'insérer l'adresse IP directement dans le fichier "host" de ton ordinateur, mais au cas ou l'adresse change, ton pc essaiera de se connecter sur l'ancienne adresse.

Jocelyn a écrit:La solution serait d'insérer l'adresse IP directement dans le fichier "host" de ton ordinateur, mais au cas ou l'adresse change, ton pc essaiera de se connecter sur l'ancienne adresse.

Ou alors de se faire sa propre page HTML de portail en mettant tous les liens en adresse IP.
Exemple : Google Recherche
Cela ne marche qu'avec certains sites qui doivent avoir leur propre serveur car par exemple les IP de Contreinfo et LATOC ne donnent que sur les pages de l'hébergeur.
C'est vraiment embêtant !!

Canis Lupus a écrit:Ou alors de se faire sa propre
page HTML de portail en mettant tous les liens en adresse IP.

Cela peut fonctionner pour des sites qui ne contiennent que des lien
relatifs, c'est à dire des liens contenant seulement le nom de la page,
et pas le nom de domaine (google.com) en entier directement inscrit dans le code source html de la page du site.
Or justement...

Canis Lupus a écrit:Exemple : Google Recherche

Si après avoir cliqué sur ce lien tu fais ensuite une recherche, tu
t'aperçois que "google.com" apparait à nouveau dans la barre d'adresse
à la place de l'IP. En gros, "google.com" est inscrit texto à
l'intérieur du bouton recherche. Google fait ça pour répartir les
recherches entre plusieurs IP ("google.com" renvoit vers plusieurs
adresses IP possibles).
Et donc une requête DNS à du être faite pour
envoyer la demande avant d'afficher le résultat. Et ce résultat
n'aurait donc pas pu être affiché si le serveur DNS était indisponible.

Canis
Lupus a écrit:Cela ne marche qu'avec certains sites qui doivent avoir leur
propre serveur car par exemple les IP de Contreinfo et LATOC ne donnent
que sur les pages de l'hébergeur.
C'est vraiment embêtant !!

C'est le principe du virual hosting (vhost). Dans ce cas, un serveur utilise
la même adresse IP pour plusieurs sites. En fonction du site demandé
(dans l'adresse web), il sait quelle page afficher. Si tu rentres
seulement l'adresse IP, le serveur ne sait pas quel site afficher, et
te redirige par défaut vers la page de l'hébergeur. Pour pouvoir
utiliser l'adresse IP, il faut que le site ait une IP dédiée (1 IP = 1
seul site), mais cela est facturé en supplément par l'hébergeur (cette
IP dédiée est nécessaire pour avoir un certificat SSL valide, par
exemple).

Une solution pour contourner ces problèmes, est -en quelque sorte- faire office de serveur DNS avec son propre PC.
C'est ce que j'évoquais en parlant du fichier "hosts".
On peut aussi installer un cache DNS local spécifique, configuré dans le
but qu'il considère comme valide les adresses IP expirées quand le
serveur DNS officiel n'est pas joignable.
On peut alors utiliser son navigateur web normalement, sans avoir à y rentrer d'adresse IP.
Bien sûr, la taille de la table d'adresses étant limitée, ce n'est pas fiable à 100%.
J'avais employé ces méthodes à l'époque des modems RTC, où les serveurs DNS de
Free (qui proposait un coût de connexion avantageux) étaient parfois
indisponibles pendant plusieurs heures. (En plus de scripts de
reconnexion automatique à cause des coupures fréquentes.)

Enfin, si on en arrive à l'heure actuelle à des serveurs DNS indisponibles, je
pense qu'il y aura des problèmes plus urgent et plus vitaux à régler
avant ça.

Jocelyn a écrit:
Enfin, si on en arrive à l'heure actuelle à des serveurs DNS indisponibles, je
pense qu'il y aura des problèmes plus urgent et plus vitaux à régler
avant ça.

Pas mal pour un sujet posté sur Olduvaï !
En cas de catastrophe, beaucoup de choses risquent de devenir bien plus importantes que nos bricoles; mais une panne généralisée des serveurs DNS (et donc d'internet) peut très bien arriver sans que l'on ait un champignon nucléaire à sa fenêtre !

Évidemment, il ne s'agit pas ici de pouvoir aller sur Dédémotion regarder la vidéo de son neveu, mais bien de tenter de réaliser une connexion sur ce qui continue de fonctionner.
Beaucoup de sites sont très mal programmés et (ab)usent des lien rétroactifs. J'avais d'ailleurs précisé qu'un moteur tel que gogol risque de ne plus fonctionner du tout LLBSV.
Il s'agit donc de repérer et référencer les sites les plus importants avec un fonctionnement proche de l'autarcie (sans renvoyer une requête en Chine pour trouver le script d'affichage ). Certains des sites gouvernementaux me semblent assez stables, mais c'est une tâche de vérification assez longue à accomplir.

Par ailleurs, je pensais voir apparaître (il y a pas mal d'informaticiens sur le forum) un commentaire sur le P2P. C'est à mon avis le système qui se rapproche le plus du vrai internet : pas de serveur-grosbill qui concentre les données, décentralisé et relativement pratique.
C'est une option AMHA qui se révélerait utile puisqu'elle est capable de se passer des serveurs DNS pour échanger des données.
A titre d'exemple, j'ai celui de la conversation (type 'chat') que j'ai eu avec un correspondant norvégien (de graines et plantes). Nous nous étions échangés une adresse IP par courrier et avions pu converser et échanger quelques fichiers.

La distance (~2000km) me semblait suffisamment intéressante pour couvrir un point assez éloigné afin d'échanger des données...mais peut AMHA être étendue jusqu'aux antipodes (à essayer !) !

Justement, question en suspens, un système comme FREENET ou sinon TOR, pourrait-il, selon vous fonctionner alors? Même si l'un est financé par un crédit google et l'autre par usaid, ça peut aider...

Johann a écrit:Justement, question en suspens, un système comme FREENET ou sinon TOR, pourrait-il, selon vous fonctionner alors? Même si l'un est financé par un crédit google et l'autre par usaid, ça peut aider...

C'est ce que je cherche à savoir depuis peu car certains m'affirment que le réseau, bien qu'utilisant des serveurs DNS, peut tout à fait fonctionner sans...
Décidément, Hadopi et les défauts d'itnernet vont peut être faire migrer les internautes sur Freenet...

Perso je teste régulierement Tor. C'est lent..

C'est bien , mais celà cachant ton IP et ton routage Tor bloque les fonctions de pas mal de sites ...

Et puis c'est lent ....

J'ai déjà pas mal écrit dans ce forum sur les risques sécuritaires liés Internet....

Mais vu l'évolution des USAs en particulier ( où sont situés les serveurs web d'Olduvaï ) et de l'economie mondiale en générale je m'inquiète aussi, doucement mais surement, du cout financier de toutes ces infrastructures.

J'ai écrit hier sur Oléocène qu'il n'y a pas que le pétrole qui "peak".
Il y a aussi tout simplement la hausse régulière ( depuis des décennies ) du cout de la vie.
En clair actuellement nous ( les individus ) avons trop de choses à acheter par rapport à l'argent disponible.
( because des inégalités placements financiers/ travail salarié mais aussi à cause de l'inflation continuelle inhérente au système ).
Tout doucement, l'économie va devoir "abandonner" certaines activités, qui bien que possible techniquement, seront trop chères à vendre aux consommateurs. Voir actuellement en France les difficultés du déploiement de la fibre optique, ou encore de la 4eme license de telephone ( pas chere pour Free mais très couteuses pour les autres opérateurs ). Voir encore au niveau mondial le cout de mise au point d'un vaccin...

Bref je crains que lentement les serveurs web non vitaux, non soutenus par une grosse infrastructure ( banques, industrie, administration ) mais juste exploités comme centre de service pour diffuser de la pub se raréfient à cause du montant de leur facture d'électricité et du cout de maintenance du parc de serveurs.

Sinon plus basiquement meme en mettant à jour ton fichier hosts ( table de concordance nom DNS avec l'adresse IP ) tu ne progresse pas beaucoup dans la sécurité.

Tout simplement parce que le jour où l'infrastructure DNS du Web est HS il y a fort à parier que l'infrastructure de routage ( ce qui indique comment atteindre l'adresse IP ) soit aussi HS , au minimum à cause des routeurs saturés, et plus probablement parce que si tu est capable de t'attaquer avec succès aux DNS du Web, tu vas aussi prévoir d'attaquer les routeurs....