Le DNS, c'est un peu la tuyauterie planquée d'Internet. Tout le monde l'utilise, mais personne ne regarde vraiment ce qui se passe dans les tuyaux... jusqu'à ce que ça pète ou qu'un petit con s'en serve pour exfiltrer des données. Et là, bon courage pour fouiller dans les logs en mode brutasse pour comprendre qui a fait quoi sur votre réseau.

En fait, pour ceux qui se demandent encore qu'est-ce que le DNS (Domain Name System), c'est simplement l'annuaire qui traduit les noms de domaine comme korben.info en adresses IP. Sans lui, on serait tous en train de mémoriser des suites de chiffres à la con.

Et il y a quelques jours, j'ai reçu un mail de Denis, un fidèle lecteur (qui traîne sur le blog depuis 2005, ça nous rajeunit pas !) qui m'a écrit pour me présenter son projet sur lequel il bosse depuis 5 ans : DNS-collector .

DNS-collector, c'est un outil écrit en Go qui sert de "chaînon manquant" entre vos serveurs DNS et votre pile de données. En gros, il capture le trafic DNS, le nettoie, l'enrichit et l'envoie là où vous en avez besoin. C'est l'outil parfait pour ceux qui ont la flemme de se palucher des fichiers PCAP de 4 Go à la main ou de debugger des flux DNStap illisibles.

Le point fort de DNS Collector, c'est sa flexibilité. Côté entrées, ça avale tout : du DNStap via socket Unix ou TCP (le protocole standard utilisé par BIND, Unbound ou PowerDNS), du sniffing réseau classique avec AF_PACKET ou même XDP pour la très haute performance. Attention quand même, pour XDP, apparemment le kernel Linux doit être récent (version 5.x minimum) et les drivers réseau doivent suivre, sinon ça va faire pshitt. Ensuite, par défaut, le bousin écoute pépouze sur le port UDP/6000 en attendant ses flux.

Mais là où ça devient vraiment balaise, c'est dans le traitement des données. DNS-collector embarque des "Transformers" (rien à voir avec Optimus Prime hein ^^) qui font tout le boulot ingrat à votre place dans le pipeline de traitement. Hop, ça normalise les noms de domaine en minuscules (le fameux qname-lowercase dans le fichier de config), ça ajoute la géolocalisation via GeoIP (genre MaxMind ou IP2Location), et on peut même détecter les trucs louches.

Il peut aussi détecter le tunneling DNS ou les domaines générés par algorithme (DGA) qui sont souvent les signes d'une infection sur une machine. Petit bémol cependant, pour la géolocalisation, pensez à télécharger vos bases GeoIP au préalable (fichiers .mmdb), sinon l'outil va vous faire une petite grimace au démarrage.

Vous pouvez aussi protéger la vie privée de vos utilisateurs en anonymisant les adresses IP via un hachage SHA1 ou du masquage. C'est propre, ça respecte le RGPD, et ça permet de garder des stats utiles (genre le top des ASN consultés) sans fliquer tout le monde. Les données sortent proprement en JSON ou en Protobuf, prêtes à être ingérées.

Une fois que vos données sont propres, vous les envoyez où vous voulez. J'ai choisi de vous citer ClickHouse ou InfluxDB car c'est parfait pour stocker des millions de requêtes sans mettre votre serveur à genoux, mais la liste est longue : Prometheus pour les métriques, ElasticSearch, Kafka, Redis, ou même Slack via des webhooks pour être alerté en temps réel quand un domaine louche pointe le bout de son nez.

Alors si ça vous chauffe, comment récupérer cet outil et le mettre en place ?

Hé bien c'est hyper fastoche comme d'hab puisque le projet est dispo en binaire ou via Docker. Ensuite, vous lancez la commande ./dnscollector -config config.yml, vous branchez vos sources, et roule ma poule. Taaadaaaa ! DNS-collector s'occupera du reste sans vous bouffer toute votre RAM (contrairement à certaines usines à gaz Java qui demandent un sacré paquet de mémoire vive ^^).

Voilà, perso, je trouve l'approche très saine. C'est léger, modulaire et ça répond à un vrai besoin pour les admins sys qui veulent enfin "voir" ce qui transite par leurs serveurs. Le bousin encaisse des milliers de requêtes par seconde sans broncher... enfin sauf si votre serveur est une patate de 2012, là je garantis rien.

Mortecouille, c'est quand même mieux d'avoir des logs lisibles avec un simple tail -f /var/log/syslog, non ? Et d'ailleurs, le projet est déjà adopté par pas mal d'acteurs de la sécu, donc vous pouvez y aller sereinement.

Merci Denis !

Alors que l'Italie pensait avoir trouvé l'arme ultime contre le piratage avec son fameux "Piracy Shield", voici que voilà que Cloudflare vient de leur renvoyer une gifle mémorable. C'était prévisible et j'ai envie de dire tant mieux car je pense que la neutralité du net mérite mieux et je ne suis pas fan de l'idée de transformer des hébergeurs et autres prestataires techniques en garant de la moral a.k.a. en censeurs automatisés.

Matthew Prince, le patron de Cloudflare, n'a pas l'intention de se laisser faire ( Source )

Si vous vous demandez de quoi je parle, je vous propose de reprendre tout ça depuis le début. En effet, l'autorité italienne de régulation des communications (AGCOM) vient de coller une amende de 14,2 millions d'euros à Cloudflare. Pourquoi ? Hé bien tout simplement parce que l'entreprise refuse de se plier à un ordre de blocage DNS datant de février 2025 sur son service 1.1.1.1 pour filtrer les sites de streaming illégaux de la Serie A (Si vous ne connaissez pas la Serie A, c'est un championnat de foot à la con). Cette prune est quand même égale à 1% de son chiffre d'affaires annuel, bref Cloudflare est carrément dans la sauce.

Toujours pour ceux qui débarquent, le Piracy Shield est un système censé permettre aux ayants droit de soumettre des adresses IP et des noms de domaine à bloquer dans un délai de 30 minutes après notification. Sauf que dans la vraie vie, ça ne marche pas tout à fait comme ça. Matthew Prince, le patron de Cloudflare, n'a d'ailleurs pas mâché ses mots en affirmant que l'Italie tente d'imposer une véritable "censure globale" sans surveillance judiciaire ni transparence. Pour lui, c'est comme essayer d'arrêter l'eau avec une passoire tout en inondant les voisins.

Techniquement, Cloudflare explique qu'obliger d'opérer un blocage DNS/IP sur ses 200 milliards de requêtes quotidiennes, cela augmenterait significativement la latence pour les utilisateurs de ses résolveurs. Et surtout, le risque de surblocage est gigantesque. Rappelez-vous, en octobre 2024, ce magnifique système avait réussi l'exploit de bloquer Google Drive pour toute l'Italie pendant trois heures (et certains blocages partiels ont même persisté bien après). Gloups ! C'est ce genre de dérives qui inquiète, surtout quand on sait que le système a déjà fait désactiver plus de 65 000 domaines en deux ans, selon l'AGCOM.

Et je vous parle pas de coût humains et techniques que ça engendre pour les opérateurs comme Cloudflare.

La réponse de Matthew Prince est d'ailleurs assez radicale puisque Cloudflare envisage carrément de retirer tous ses serveurs des villes italiennes, de couper ses services de cybersécurité gratuits pour les utilisateurs locaux et même d'annuler son soutien pro bono pour les prochains Jeux olympiques de Milan-Cortina. Bye Bye l'investissement, basta la collaboration !

On se retrouve donc dans une situation où Cloudflare se voit contraint de choisir entre ses principes et le marché italien. Si vous suivez un peu l'actu, vous savez que les services DNS sont de plus en plus ciblés par des obligations de blocage, mais l'Italie semble vouloir aller plus loin que les autres.

Si la France a déjà ordonné à cinq gros fournisseurs de VPN de bloquer certains sites de streaming sportif, l'offensive italienne contre les infrastructures de base du web est un cran au-dessus. Heureusement, il existe encore des résistances techniques et ces protocoles ennemis de la censure comme le DoH ou l'ECH (Encrypted Client Hello) rendent la tâche plus complexe pour les autorités, même si cela n'empêchera jamais un blocage pur et dur par IP.

Bref, reste à savoir maintenant comment ceci sera réellement appliqué dans les mois qui viennent... En attendant, si vous utilisez Cloudflare en Italie (ou ailleurs), surveillez de près les évolutions de votre service car le bras de fer ne fait que commencer.

Source

Un DNS (Domain Name System) est un service essentiel d’Internet chargé de traduire les noms de domaine (ex. google.fr) en adresses IP (ex. 216.58.198.195). Sans cette étape de résolution, impossible d’accéder à un site web à partir de son adresse habituelle : les navigateurs auraient besoin d’une IP précise pour établir la connexion. Par défaut, … Lire la suite

Source

Microsoft will retire the legacy Windows Internet Name Service after Windows Server 2025, strongly encouraging organizations to transition to DNS by November 2034.

Source