13 août 2008

Pourquoi j’ai abandonné le serveur DNS de mon Fournisseur d’accès à Internet

Publié par at 17:48 Sous Article

Print This Post Print This Post

Si une opération sur Internet parait évidente c’est de taper le nom du site auquel vous voulez accéder dans son navigateur préféré et par miracle une page s’affiche.

La plus part d’entre nous (et c’est normal) ne s’est jamais demandé comment cela fonctionnait.
En fait, un certain nombre d’opérations ont lieu au travers de multiples serveurs pour transformer cet adresse textuelle en adresse numérique.
Mais me direz-vous en quoi cela me concerne?
En réalité, comme vous ignorez le fonctionnement réel de ce service, votre fournisseur d’accès à Internet vous impose par défaut ses propres serveurs. Ceci lui permet entre autres de connaître parfaitement vos habitudes de surf et éventuellement (comme cela s’est passé récemment en Italie) peut décider de rendre inaccessible tel ou tel site pour ses abonnés .
Ce que vous ne savez pas c’est que vous avez la possibilité (et gratuitement) de choisir un service indépendant.
C’est l’objet de ce billet

Les principes

Les ordinateurs connectés à un réseau Internet, possèdent tous une adresse IP.

Ces adresses sont numériques afin d’être plus facilement traitées par une machine.

Elles se présentent sous deux formes :

  • IPv4, sous la forme xxx:yyy:zzz:aaa, où xxx, yyy, zzz et aaa sont quatre nombres variant entre 0 et 255 (en système décimal).
  • IPv6, sous la forme aaaa:bbbb:cccc:dddd:eeee:ffff:gggg:hhhh, où a, b, c, d, e, f, g et h représentent des caractères au format hexadécimal.

Le protocole IPv4 permet d’utiliser un peu plus de quatre milliards d’adresses différentes pour connecter les ordinateurs et les autres appareils reliés au réseau.
Du temps des débuts d’Internet, quand les ordinateurs étaient rares, cela paraissait plus que suffisant. Il était pratiquement inimaginable qu’il y aurait un jour suffisamment de machines sur un unique réseau pour que l’on commence à manquer d’adresses disponibles.

Mais une grande partie des quatre milliards d’adresses IP théoriquement disponibles ne sont pas utilisables, soit parce qu’elles sont destinées à des usages particuliers, soit parce qu’elles appartiennent déjà à des
sous-réseaux importants. En effet, d’immenses plages de 16,8 millions d’adresses, les réseaux dits de classe A, ont été attribuées aux premières grandes organisations connectées à Internet, qui les ont conservées
jusqu’à aujourd’hui sans parvenir à les épuiser.

La transition vers IPv6 a commencé depuis 1995.

Que ce soit en IPv4 ou en IPv6, il n’est pas évident de retenir ce numéro lorsque l’on désire accéder à un ordinateur d’Internet.

C’est pourquoi un mécanisme a été mis en place pour permettre d’associer à une adresse IP un nom intelligible, plus simple à retenir, appelé nom de domaine. Résoudre un nom de domaine, comme par exemple
jremaud.com, c’est trouver l’adresse IP qui lui est associée.

C’est pour éviter de devoir mettre à jour l’ensemble des ordinateurs connectés à Internet que le DNS a été mis au point par Paul Mockapetris en 1983.

Avec DNS, la résolution se fait par l’intermédiaire d’un serveur. Quand un utilisateur souhaite accéder à un serveur web, par exemple celui de jremaud.com, son ordinateur émet une requête spéciale à un serveur
DNS, demandant ‘Quelle est l’adresse de jremaud.com ?’.
Le serveur répond en retournant l’adresse IP du serveur, qui est dans ce cas-ci, 66:33:195:178

Il est également possible de poser la question inverse, à savoir ‘Quel est le nom de domaine ou quels sont les noms de domaines de telle adresse IP ?’. On parle alors de résolution inverse

Plusieurs noms de domaine peuvent pointer vers une même adresse IP et réciproquement.

DNS : Un système distribué

Il existe des centaines de milliers de serveurs DNS dans le monde entier. Chacun n’a en réalité à sa disposition qu’un ensemble d’informations restreint.

Quand un hôte a besoin de résoudre un nom de domaine, il doit connaître l’adresse IP d’un ou plusieurs serveurs de noms récursifs, c’est-à-dire qui vont éventuellement faire suivre la requête à un ou plusieurs autres serveurs de noms pour fournir une réponse.
Les adresses IP de ces serveurs récursifs sont souvent obtenues via DHCP. Les Fournisseurs d’accès à Internet mettent normalement à disposition de leurs clients ces serveurs récursifs.

Quand un serveur DNS (par exemple, celui d’un fournisseur d’accès à Internet) doit trouver l’adresse IP de jremaud.com , une communication s’instaure alors avec d’autres serveurs DNS. Tout d’abord, notre serveur demande à des serveurs DNS peu nombreux appelés serveurs racine quels serveurs peuvent lui répondre pour la zone com. Parmi ceux-ci, notre serveur va en choisir un pour savoir quel serveur est capable de lui répondre pour la zone jremaud.com. C’est ce dernier qui pourra lui donner l’adresse IP de jremaud.com.

Pour optimiser les requêtes ultérieures, la plupart des serveurs DNS (et notamment ceux des Fournisseurs d’accès à Internet) font aussi office de DNS cache : ils gardent en mémoire la réponse d’une résolution de nom afin de ne pas effectuer ce processus à nouveau ultérieurement.

Un nom de domaine peut utiliser plusieurs serveurs DNS.
Généralement, les noms de domaines en utilisent au moins deux : un primaire et au moins un secondaire. L’ensemble des serveurs primaire et secondaires font autorité pour un domaine, c’est-à-dire que la réponse ne fait pas appel à un autre serveur ou à un cache. Les serveurs des Fournisseurs d’accès à Internet fournissent des réponses qui ne sont pas nécessairement à jour, à cause du cache mis en place.

Cette architecture garantit au réseau Internet une certaine continuité dans la résolution des noms. Quand un serveur DNS tombe en panne, le bon fonctionnement de la résolution de nom n’est pas remis en cause dans la mesure où des serveurs secondaires sont disponibles. De plus, le DNS permet de mettre à jour l’adresse IP associée à un nom de domaine dans le monde entier facilement et assez rapidement (un délai de 48 heures est généralement suffisant, en fonction de la configuration du nom de domaine).

Pourquoi choisir un serveur DNS différent de celui de votre FAI

La plus part des Internautes retiennent par défaut le serveur DNS de leur Fournisseurs d’accès à Internet. Et c’est ce que j’avais fait jusqu’ici,

Après avoir constaté des problèmes de performance chez un de mes FAI et à la lecture de certains articles faisant état de blocage de l’accès à certains sites de la part de certains FAI (en ITALIE) je me suis intéressé de plus près au problème et après quelques essais j’ai retenu OpenDNS

Pourquoi OpenDNS ?

OpenDNS

OpenDNS

Il y a deux raisons principales :

  • il est gratuit
  • il s’installe en quelques instants sans chargement de logiciel pour la version sans inscription.

Ensuite il existe plusieurs raisons dont la hiérarchie dépend de chacun :

  • il est plus rapide que votre FAI (cela tient à la structure de leur réseau)

  • il possède des fonctions de protection (anti-phishing de par sa liaison directe avec PhishTank.com).
  • Il offre des services complémentaires intéressants tel que l’auto-correction des petits erreurs de frappe jremaud,cmo –> jremaud,com

  • et ….vous pouvez le quitter à tout moment

J‘ai personnellement constaté une bonne amélioration des performances, en particulier avec FIREFOX.

Comment changer de service?

Paramétrez simplement les serveurs DNS suivants sur votre ordinateur ou votre routeur :

208.67.222.222

208.67.220.220

Si vous utiliser Windows Vista pour trouverez les instructions à cette adresse : aide de Windows

Pour les autres systèmes d’exploitation ou pour les routeurs vous trouverez des instructions détaillées sur le site OpenDNS

Gratuit ?

En fait, OpenDNS gagne de l’argent grâce aux publicités affichées dans les pages de  recherche, quand vous tapez un domaine qui n’existe pas.

Inconvénients

  • Le premier porte sur la question de confidentialité de vos requêtes DNS; Faut-il mieux faire confiance à son FAI ou à OpenDNS? C’est une question d’appréciation personnelle mais les récentes dérives de la loi DAVSI me laisse à penser que moins votre FAI en sait sur vos habitudes mieux vous vous porterez.

  • Les logiciels qui résolvent des noms de machine n’auront plus d’erreur « domaine non trouvé », mais une redirection. Il est possible que cela perturbe le fonctionnement de certains logiciels. Cependant, dans la majorité des cas, cela ne pose aucun problème. Cette fonction peut se désactiver.
  • Conservation des logs de requêtes ( mais cela me semble bien meilleur que chez votre FAI oùvous ignorez complètement ce qu’il peuvent en faire!!!) :
    • Utilisation d’OpenDNS sans inscription: Les logs sont purgés au bout de 2 jours.
    • Utilisation d’OpenDNS avec inscription: Les logs sont conservés si vous le désirez, et peuvent être purgés à la demande.
    • Vous pouvez aussi demander à OpenDNS de ne conserver aucun log.

L’inscription n’est pas obligatoire si vous ne souhaitez pas utiliser ces fonctionnalités avancées.

Pour accéder aux fonctionnalités  complémentaires, il est nécessaire de s’inscrire sur le site d’OpenDNS.

L’inscription et l’utilisation de toutes les fonctionnalités complémentaires sont gratuites.

Si vous voulez en savoir plus (et en français) sur le fonctionnement de OpenDNS je vous conseille de lire cet  article

Références

Commentaires fermés sur Pourquoi j’ai abandonné le serveur DNS de mon Fournisseur d’accès à Internet

Les commentaires sont fermés pour le moment.