There was a time where getting information about the content stored in the DNS was easy: just fire dig from any machine in the Internet and ask your question. It has never been a perfect solution (because of caching and because of different network connectivity) but it worked most of the time: the DNS was supposed to give the same data to anyone. Now, several recent changes make this solution too limited. We need DNS Looking Glasses.
What are these changes?
Answers can be different depending on the source IP address of the query, for instance to direct users to a closer server.
Cache poisoning may have the effect that the users of some resolvers/caches will see a different set of data.
DNSSEC can have an effect. Today, some resolvers validate and some do not. If a DNS zone administrator makes a mistake, validating resolvers will experience a problem but not the users of non-validating resolvers.
Lying resolvers can rewrite answers for their users.
Legal requirments on DNS censorship (both in dictatorships and in democracies) may make some data unavailable (or modified) from some places.
It means we need DNS Looking Glasses, points of observation to look at the DNS data from a different viewpoint. Such looking glasses are already very common to observe BGP but not for the DNS. People typically use open resolvers, DNS resolvers open for everyone, for that purpose (for instance, scientific papers analyzing the DNS are often based on surveys with open resolvers). But they create various security problems and that's why the RFC 5358 recommends their closing.
Dans les articles précédents, nous avons vu comment s’approprier petit à petit (presque) tous les maillons de la chaîne entre tatie Martine et Internet.
Je suis, volontairement, passé un peu vite sur la question de la bordure entre le réseau et Internet. Reprenons donc, vous êtes l’opérateur A et vous disposez de deux machines situées à proximité immédiate d’autres réseaux (par « proximité immédiate » j’entend « dans le même bâtiment », mais vous pouvez aussi tirer des fibres longue distance si vous avez une bonne pelle) et vous avez fait le choix de la redondance et de la qualité en souscrivant :
un contrat de transit avec un opérateur B
un contrat de transit avec un opérateur C
un port sur un point d’échange 1
un port sur un point d’échange 2
Si on résume donc, chacun de vos deux routeurs dispose de 4 connexions :
un lien vers l’un des transitaires
un lien vers l’un des points d’échange
un lien vers la collecte ADSL
un lien vers l’autre routeur
C’est bien joli, mais il faut à présent configurer tout ça. Sur internet, tout est affaire de routes. J’en ai déjà parlé pas mal ici, ici et ici mais essayons de reprendre sous un angle encore différent, un angle un peu opérationnel.