Les DNS
Pourquoi ?¿
Les DNS (Domain Name system) traduisent les adresses IP en nom de dommaines, par exemple pour lorsque vous émettez une requête vers Vercel vous émettez en fait une requête vers 76.76.21.21, vous en comprendrez l'utilité maintenant surtout avec l'avènement de l'IPv6 qui est absolument illisible.
Redirecteurs
Bref, le truc sympa qu'on peut faire avec les DNS c'est qu'on peut créer des redirecteurs ou gérer de la censure. Par exemple ce site vous le visitez sous le nom drhead.org mais il possède plusieurs autres noms de domaines essayez d'accéder à ceux-ci et voyez ce qu'il se passe :
Ils vont tous vous rediriger vers drhead.org, voilà c'est ça des redirecteurs
Maintenant pour faire de la censure c'est simple vous avez plusieurs méthodes
Censure
Linux
- Le fichier
/etc/hosts
Vous pouvez éditer ce fichier pour empêcher l'accès à certains sites par exemple éditez le sudo nano /etc/hosts puis ajoutez les lignes suivantes à la fin
0.0.0.0 www.laboutiqueofficielle.com
0.0.0.0 laboutiqueofficielle.com
Ensuite redémarrez votre service qui gère le réseau
sudo systemctl restart networking
Essayez d'accéder à laboutiqueofficielle.com ce sera impossible.
- Utiliser des outils comme
dnsmasq
Installez-le
sudo apt install dnsmasq
Editez /etc/dnsmasq.conf
address=/laboutiqueofficielle.com/127.0.0.1
Puis redémarrez le service
sudo systemctl restart dnsmasq
Windows
- Le fichier
hosts
Ouvrez-le dans un powershell
C:\Windows\System32\drivers\etc\hosts
Ajoutez ces lignes
127.0.0.1 www.laboutiqueofficielle.com
127.0.0.1 laboutiqueofficielle.com
Puis videz le cache DNS
ipconfig /flushdns
- AdGuard Home
Installez-le et choisissez de le démarrer comme service Windows
Accèdez à l'interface via http://localhost:3000 puis Filtres DNS > Liste de blocage personnalisée
laboutiqueofficielle.com
www.laboutiqueofficielle.com
dnsmasqfonctionne aussi sur Windows
Bref ici c'est à petite échelle mais quand c'est votre pays qui impose légalement à vos FAI de bloquer le traffic vers certains sites c'est plus embêtant*
Par exemple en France on empêche l'accès à des sites comme Zone-Telechargement et ça c'est vos FAI qui s'occupe de vous rediriger vers des sites gouvernementaux ou des pages sans réponses. C'est pour ça qu'on va utiliser des techniques pour chiffrer notre traffic DNS ou carrément changer de DNS.
DoH (DNS Over HTTPS)
DoH permet de faire passer tout le traffic DNS dans les requêtes HTTPS ce qui signifie qu'elles vont être chiffrée ducoup bah si votre pays voulais vous rediriger il va pas pouvoir vu qu'il va voir des caractères incompréhensibles lors de vos requêtes DNS. Pour ceci vous avez plusieurs outils :
- Sur Linux
- Cloudflared
- dnscrypt
- systemd-resolved
- Sur Windows
- DoH Natif :
Paramètres > Réseau et Internet > Paramètres DNS.- Active DNS sur HTTPS et mets 1.1.1.1 (Cloudflare) ou 8.8.8.8 (Google). ou autre fournisseur qui sera certainement beaucoup moins regardant que ces deux là
- dnscrypt existe aussi en GUI ici
- DoH Natif :
DoT (DNS Over TLS)
DoH permet de faire passer tout le traffic DNS chiffré via le protocole TLS (utilisé par HTTPS) ducoup bah si votre pays voulais vous rediriger il va pas pouvoir vu qu'il va voir des caractères incompréhensibles lors de vos requêtes DNS. Pour ceci vous avez plusieurs outils :
- Sur Linux
- stubby
- Sur Windows
- YogaDNS
Les différences entre DoH & DoT
| Critère | DoH (DNS-over-HTTPS) | DoT (DNS-over-TLS) |
|---|---|---|
| Port utilisé | TCP 443 (HTTPS) | TCP 853 (TLS) |
| Chiffrement | Oui (via HTTPS) | Oui (via TLS) |
| Sécurité | Très sécurisé | Très sécurisé |
| Vitesse | Un peu plus lent (HTTP overhead) | Plus rapide (pas de HTTP) |
| Facilité de blocage | Difficile (mélangé avec le trafic web) | Facile (port 853 identifiable) |
| Facilité d'implémentation | Facile (support natif Windows et navigateurs) | Besoin d'un resolver comme stubby |
| Idéal pour | Bypass la censure, usage grand public | Sécurité réseau, entreprises |