(modifié le 17 avril 2018 à 13:53)

Cloudflare propose un nouveau DNS public disponible sur 1.1.1.1 et 1.0.0.1 en mettant l'accès sur la vie privée.

MàJ 10/04/2018 : Cloudflare résume tous les cas d'impossibilité d'accès à son DNS (voir fin du billet)

Ce DNS a été annoncé le 1er avril 2018, soit le 04/01 en anglais, d'où son nom (4 fois le chiffre "1").

1.1.1.1 / 1.0.0.1

Ils ont réussi à trouver une adresse IPv4 encore plus mémorisable que les DNS de Google. Déjà rien que pour ça, bien joué! Mais le service se veut particulièrement rapide puisqu'il s'agit aujourd'hui du service DNS le plus rapide d'après DNSPerf.

"Nous avons commencé à discuter avec les fabricants de navigateurs de ce qu'ils attendraient d'un résolveur DNS. Un mot n'arrêtait pas de revenir : intimité. Au-delà de l'engagement de ne pas utiliser les données de navigation pour cibler les publicités, ils voulaient s'assurer que nous effacerions tous les journaux des transactions en une semaine. C'était une demande facile. En fait, nous savions que nous pouvions aller beaucoup plus loin. Nous nous sommes engagés à ne jamais écrire les adresses IP d'interrogation sur le disque et à effacer tous les journaux dans les 24 heures.

Nous avons contacté l'équipe de l'APNIC. L'APNIC est un registre Internet régional (RIR) responsable de la distribution des IP dans la région Asie-Pacifique. C'est l'un des cinq RIR qui gèrent l'allocation de la PI à l'échelle mondiale, les quatre autres étant : ARIN (Amérique du Nord), RIPE (Europe/Moyen-Orient), AFRINIC (Afrique) et LACNIC (Amérique du Sud).

Le groupe de recherche de l'APNIC détenait les adresses IP 1.1.1.1.1.1 et 1.0.0.0.1. Alors que les adresses étaient valides, tant de personnes les avaient entrées dans divers systèmes aléatoires qu'elles étaient continuellement submergées par un flot de trafic d'ordures. L'APNIC voulait étudier ce trafic d'ordures, mais chaque fois qu'ils ont essayé d'annoncer les adresses IP, l'inondation submergeait n'importe quel réseau conventionnel.

Nous avons parlé à l'équipe APNIC de la façon dont nous voulions créer un système DNS extrêmement rapide et en premier lieu sur le respect de la vie privée. Ils pensaient que c'était un objectif louable. Nous avons offert au réseau de Cloudflare de recevoir et d'étudier le trafic de déchets en échange de pouvoir offrir un résolveur DNS sur les IP mémorables. Et c'est comme cela que 1.1.1.1.1.1.1 est né."

Voilà donc un nouveau copain à OpenDNS, 4.2.2.2 de Level 3, 9.9.9.9 , et j'en passe !

Si vous aviez les DNS de Google de configurés, je vous conseille de basculer dans l'ordre :

  • 1.0.0.1 ou 1.1.1.1 (cloudflare)
  • 9.9.9.9 (quad9)
  • OpenNic
  • 8.8.8.8 (Google)

Je vous ferai un billet complet pour vous lister les DNS que je conseille. Pour ma part je laisse la configuration dans mon Tomato avec dnsmasq pour ne pas toucher à ce paramètre sur mes machines.

Espérons que cloudflare saura encaisser la charge et éviter les DDoS que nous avons pu connaître ces derniers temps. L'objectif de préservation de vie privée est en tout cas louable si on le compare à la politique de Google sur ses DNS publics.

Côté vitesse il est vrai que ça dépote bien ! (compléments d'info : le deal 1.1.1.1 / avoir de bonnes résolutions)

Incompatibilités

La plage 1.0.0.0/8 est relativement utilisée pour tout et n'importe quoi depuis des années.

Sur mon routeur Tomato équipé de dnsmasq je n'arrive pas à utiliser l'adresse 1.1.1.1 mais 1.0.0.1 fonctionne. J'ai rencontré la même problématique sur un équipement Juniper et je ne sais pas encore s'il s'agit d'un dysfonctionnement côté équipement ou côté opérateur (ou les deux).

L'adresse 1.1.1.1 semble être considérée (à tord) comme une adresse interne / locale / trou noir, et le routage ne se fait pas ou boucle. Préférez donc 1.0.0.1 : https://1.0.0.1 qui fonctionne partout.

Pour s'en rendre compte il suffit de lancer un traceroute pour voir qu'un routeur SFR se prends pour 1.1.1.1 car je n'ai qu'un seul saut, ce qui est juste impossible !

D'après vos retours concernant les FAI et 1.1.1.1 :

  • Free xDSL/Fibre : OK
  • Orange France : OK sauf LiveBox 4 (interception en IPv4)
  • OVH Télécom : OK
  • Bouygues Telecom / Bouygues Pro : OK
  • SFR / Numericable : OK (AS21502/AS1557)
  • Completel / SFR Business (AS12670) : OK

Equipements :

  • Juniper netscreen (screenOS) : OK
  • Juniper junOS : OK
  • pfSense : OK
  • ubiquiti : OK

Voici les DNS cloudflare en IPv6 :

  • 2606:4700:4700::1111
  • 2606:4700:4700::1001

Voir le forum Cloudflare associé à ce sujet.

MàJ 10/04/2018 : Cloudflare vient de publier un post dédié à l'impossibilité d'accès à son DNS et parle d'Orange France.

source

 

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter