DNS menteur, une autre méthode anti-curieux
Conclusion
Ce système présente des limites et ses avantages. Laissez-vous tenter par l’expérience et approfondissez le sujet !
Limites évidentes
La principale limite concerne les web-espions qui utilisent des IP plutot que des noms de domaine.
Le principal effet de bord est le filtrage non désiré de CSS ou des JavaScripts importants pour un site BIEN mais hébergés par un site MAL (merci les scripts eye-candy hebergés chez google !), la réciproque est aussi un effet de bord : avoir des fichiers non désirés mais nécessaires sur un site BIEN (grrrr le tracking de Viadeo).
Bind9 doit être rechargé à chaque modifications, vous pouvez également l’adosser à une base de données type mysql pour gagner en souplesse d’administration. La granularité des filtres est très approximative : appelons un chat, un chat, c’est une technique de bourrin (c’est tout moi ça).
Gains immédiats
Pour commencer la charge cpu daemon dns + daemon http est amortie au delà d’une dizaine de surfeur des bahines (concept antérieur au surfeur niçois).
Le combat contre les web-espions ne se limite pas à l’HTTP, on peut envisager de filtrer les espions qui téléphonent à la maison via un autre protocole voire à un autre niveau sous-jacent (UDP).
Le plus grand avantage que j’y trouve est éthique : avec ce système vous ne serez jamais tenté de faire le bâtard en privant vos administrés de leur pause méritée. Non ce n’est pas faire le BOFH mais la sous-merde exécutante, nuance. Les astuces pour modifier le fichier /etc/hosts se rependront et vous passerez pour une buse.
Pour finir, le dns-menteur peut être positionné en complément d’un proxy filtrant, soulageant ce dernier de requêtes superflues. Le gain de performance pourrait être l’occasion d’un autre article ;).
Liens pour approfondir
- Les mauvais DNS menteurs par Stéphane Bortzmeyer
- Faire un DNS intranet par CCN.net
- Quelques outils de stats par Hongkiat
Le concept original (2001) est à mettre au crédit de feu pub.CiteWeb.net sous license WTFPL. Merci aux petits gars de yoyo.org pour les noms de domaine.
Bel article ! Petite question, où as tu trouver ces jolies clipart, qui semble être vectoriel ? Ils sont magnifiques, ça produit d’excellent schéma !
Merci 😉
Ces illustrations ont été réalisées avec Cacoo, un flow-chart en ligne basé sur flash.
Ce que l’on perd en souplesse par rapport à un Dia est compensé par la richesse des ‘cliparts’ (qui n’en sont pas en fait) et par la disponibilité d’un outil ‘in the cloud’. A tester sur un petit projet pour se faire un avis.
La galerie originale est ici https://cacoo.com/diagrams/Z1pvc3fomB1cMnoi
Il manque juste un petit quelque chose: l’ajout des nouveaux domaines espions ou publicitaires, à la volée, par les utilisateurs.
Comme ce que permet Ad-Block: hop ça me plait pas, hop je vire. Sauf que je ne vois pas comment on pourrait faire ça de façon pratique sur tous les navigateurs..
Effectivement c’est encore une autre limite d’un système tel que décrit dans l’article.
Mon petit doigt me dit que le prochain article traitera de l’import conditionnel de règles adblock 😉
bonjour.
je tiens a préciser que le fichiers hosts existe également sur un windows !!!
il est même ici : %windir%\system32\drivers\etc\hosts
(remarquez l’extrême similitude entre le /etc/hosts d’un Linux et le \etc\hosts d’un Windows ^_^…même les commentaires sont quasi identiques…)
(pas testé sur win7, désolé…)
jbdzdd
pmopp7