mirror of https://framagit.org/kyodev/kyopages.git
142 lines
4.5 KiB
Markdown
142 lines
4.5 KiB
Markdown
# DNS Publics
|
|
|
|
|
|
## OpenNic
|
|
|
|
OpenNic est un groupe de volontaires proposant:
|
|
|
|
* des domaines de premier niveau (TLD) alternatifs, en dehors du monopole de l'ICANN américain ( ?bbs, .chan, .dyn, .fur, .geek, .gopher, .indy, .libre, .neo, .null, .o, .oss, .oz, .parody, .pirate),
|
|
* interconnexions avec d'autres réseaux alternatifs, comme _Namecoin_, _Emercoin_, _New Nations_
|
|
* une gouvernance démocratique
|
|
* un réseau de serveurs DNS pour ces domaines alternatifs interconnecté avec le réseau ICANN. Les TLD traditionnels sont donc utilisables avce les avantages des DNS OpenNic
|
|
* des serveurs DNS non censurants, non indiscrets (pas de logs ou logs anonymisés), non menteurs
|
|
* certains serveurs fonctionnent avec whitelist
|
|
* certains serveurs fonctionnent proposent cryptdns
|
|
|
|
Liens:
|
|
|
|
* [OpenNic Project](https://www.opennicproject.org/)
|
|
* [DNS sur android rooté](https://play.google.com/store/apps/details?id=uk.co.mytechie.setDNS)
|
|
* [wiki openNic](http://wiki.opennic.org/)
|
|
* [liste des serveurs](https://servers.opennicproject.org/) avec leurs caractéristiques (cryptDns, voir CA, DE)
|
|
|
|
|
|
## DNS récursif OpenNic
|
|
|
|
le mieux est de demander une liste actuelles des serveurs actifs:
|
|
|
|
[serveurs DNS proches ipv4](https://api.opennicproject.org/geoip/?ns&ipv=4&res=3)
|
|
[serveurs DNS proches ipv6](https://api.opennicproject.org/geoip/?ns&ipv=6&res=3)
|
|
|
|
|
|
### vérifier que le trafic Dns n'est pas intercepté par le Fai:
|
|
|
|
#### réponse normale
|
|
|
|
```shell
|
|
dig SOA . @106.186.17.181 -p 5353 +short
|
|
```
|
|
```text
|
|
ns0.opennic.glue. hostmaster.opennic.glue. 2017031906 1800 900 604800 3600
|
|
```
|
|
**serveur OpenNic visible**, pas de traces apparentes de Dns hijacking
|
|
|
|
|
|
#### problème
|
|
|
|
|
|
```shell
|
|
dig SOA . @106.186.17.181 +short
|
|
```
|
|
```text
|
|
a.root-servers.net. nstld.verisign-grs.com. 2015080300 1800 900 604800 86400
|
|
```
|
|
**/!\** a.root-servers.net n'est **pas un serveur OpenNic**, mais cela pourrait être un autre serveur DNS introduit comme serveur faisant autorité
|
|
|
|
pour éviter de détournement, via l'interception du port 53, OpenNic propose un port alternatif 5353
|
|
|
|
```shell
|
|
dig SOA . @106.186.17.181 -p 5353 +short
|
|
```
|
|
```text
|
|
ns0.opennic.glue. hostmaster.opennic.glue. 2017031906 1800 900 604800 3600
|
|
```
|
|
bonne réponse, utiliser ce **port alternatif**
|
|
|
|
|
|
## FDN
|
|
|
|
Associatif, non censuré, non indiscret https://www.fdn.fr/actions/dns/
|
|
|
|
```shell
|
|
nameserver 80.67.169.12 # ns0.fdn.fr
|
|
nameserver 80.67.169.40 # ns1.fdn.fr
|
|
|
|
nameserver 2001:910:800::12
|
|
nameserver 2001:910:800::40
|
|
```
|
|
|
|
## ~~Google DNS~~
|
|
|
|
## Cloudflare
|
|
|
|
* non indiscret
|
|
* permet TSL ou HTTPS, voir via dautres canaux exotiques comme sms, twitter, telegram, mail...
|
|
* rapide, enfin [_marketingement_ parlant](https://kyodev.frama.io/kyopages/scripts/nstest/#bench)
|
|
* [1.1.1.1](https://1.1.1.1/fr-FR/)
|
|
|
|
```shell
|
|
nameserver 1.1.1.1
|
|
nameserver 1.0.0.1
|
|
nameserver 2606:4700:4700::1111
|
|
nameserver 2606:4700:4700::1001
|
|
```
|
|
|
|
## autres serveurs DNS ouverts
|
|
|
|
[adguard](https://adguard.com/en/adguard-dns/overview.html)
|
|
[alternate dns](https://alternate-dns.com/)
|
|
[cleanbrowsing](https://cleanbrowsing.org/)
|
|
[cloudfare](https://1.1.1.1/)
|
|
[comodo](https://www.comodo.com/secure-dns/)
|
|
[dns watch](https://dns.watch/index)
|
|
[dyn oracle](https://help.dyn.com/internet-guide-setup/)
|
|
[freenom](http://www.freenom.world/fr/index.html?lang=fr)
|
|
[freedns](https://freedns.zone/en/)
|
|
[google](https://developers.google.com/speed/public-dns/)
|
|
[level3](http://www.level3.com/en/)
|
|
[neustar](https://www.security.neustar/dns-services/recursive-dns#free)
|
|
[norton connectsafe](https://dns.norton.com/faq.html)
|
|
[opendns](https://www.opendns.com/)
|
|
[quad9](https://www.quad9.net/)
|
|
[uncensoredDNS](https://blog.uncensoreddns.org/)
|
|
[verisign](https://www.verisign.com/en_US/security-services/public-dns/index.xhtml)
|
|
[yandex](https://dns.yandex.com/advanced/)
|
|
|
|
|
|
## test performance
|
|
|
|
voir [script utilitaire *_nstest_*](https://kyodev.frama.io/kyopages/scripts/nstest/), permettant de tester les serveurs de resolv.conf et/ou d'un fichier tiers et/ou la liste des serveurs ouverts ci-dessus
|
|
|
|
|
|
## DNS FAI
|
|
|
|
notes pour mémoire historique, ces serveurs sont censeurs en France, menteurs et pas toujours d'un bonne fiabilité
|
|
|
|
```
|
|
aliceBox 212.27.40.240 212.27.40.241 (vérifié)
|
|
BT 194.158.122.10 194.158.122.15 (vérifié)
|
|
free 212.27.40.240 212.27.40.241 (vérifié)
|
|
nerim 195.5.209.150 194.79.128.150 (vérifié)
|
|
orange 80.10.246.2 80.10.246.129 (vérifié)
|
|
ovh 91.121.161.184 188.165.197.144 (vérifié)
|
|
sfr 109.0.66.10 109.0.66.20 (?)
|
|
numericable (?)
|
|
```
|
|
|
|
## a voir
|
|
|
|
* /etc/resolv.conf
|
|
* man resolv.conf
|
|
* /etc/dhcp/dhclient.conf
|