Il y a très longtemps, lorsque les ministres ne parlaient pas de
l'
L'outil en question consiste simplement en un serveur DNS
spécifique, qu'on peut interroger (le nom est
% dig +short rs.dns-oarc.net txt
rst.x4001.rs.dns-oarc.net.
rst.x3985.x4001.rs.dns-oarc.net.
rst.x4023.x3985.x4001.rs.dns-oarc.net.
"192.168.1.1 sent EDNS buffer size 4096"
"192.168.1.1 DNS reply size limit is at least 4023 bytes"
Ici, on voit que les réponses DNS de 4023 octets peuvent arriver.
Avec des résolveurs DNS mal configurés ou mal connectés (ici, ceux
d'
% dig +short rs.dns-oarc.net txt
rst.x486.rs.dns-oarc.net.
rst.x454.x486.rs.dns-oarc.net.
rst.x384.x454.x486.rs.dns-oarc.net.
"213.228.63.58 lacks EDNS, defaults to 512"
"213.228.63.58 DNS reply size limit is at least 486 bytes"
486 octets arrivent à passer, ce qui est insuffisant dans de nombreux cas.
Malheureusement, les environnements DNS bogués sont fréquents. Ce
n'est pas
forcément à cause du serveur de noms : cela peut être à cause d'un
Vous pouvez le tester sur votre machine habituelle, au bureau et à la
maison. Si vous obtenez moins de 2048 octets, danger :
Si
les paquets de plus de 512 passent, mais pas ceux de plus de 1500, il
s'agit probablement d'un problème de
Le même logiciel a aussi été installé par le
% dig +short test.rs.ripe.net txt
rst.x3828.rs.ripe.net.
rst.x3833.x3828.rs.ripe.net.
rst.x3839.x3833.x3828.rs.ripe.net.
"192.134.4.162 sent EDNS buffer size 4096"
"192.134.4.162 summary bs=4096,rs=3839,edns=1,do=1"
"192.134.4.162 DNS reply size limit is at least 3839 bytes"
Si on est sur une machine qui n'a pas dig mais qui a
% nslookup -q=txt rs.dns-oarc.net
Server: ::1
Address: ::1#53
Non-authoritative answer:
rs.dns-oarc.net canonical name = rst.x3827.rs.dns-oarc.net.
rst.x3827.rs.dns-oarc.net canonical name = rst.x3837.x3827.rs.dns-oarc.net.
rst.x3837.x3827.rs.dns-oarc.net canonical name = rst.x3843.x3837.x3827.rs.dns-oarc.net.
rst.x3843.x3837.x3827.rs.dns-oarc.net text = "192.134.4.69 DNS reply size limit is at least 3843"
rst.x3843.x3837.x3827.rs.dns-oarc.net text = "192.134.4.69 sent EDNS buffer size 4096"
rst.x3843.x3837.x3827.rs.dns-oarc.net text = "Tested at 2010-01-27 10:20:02 UTC"
Authoritative answers can be found from:
x3843.x3837.x3827.rs.dns-oarc.net nameserver = ns00.x3843.x3837.x3827.rs.dns-oarc.net.
ns00.x3843.x3837.x3827.rs.dns-oarc.net internet address = 149.20.58.136
D'autres outils pour faire ce genre de test existent mais plus complexes :
La racine du DNS devant être complètement signée en mai 2010, cette question de taille :-)
se posera donc souvent, comme dans l'article «
Si le test montre que les paquets de plus de 1500 octets (voire les
paquets de plus de 512 octets) ne peuvent pas passer, faut-il
paniquer ? Oui et non. Le fait qu'ils ne peuvent pas passer est
inquiétant, dix ans après que la vieille limite de 512 octets aie été
supprimée. Mais cela n'entrainera pas forcément une catastrophe. Cela
dépend de beaucoup de choses.
Par exemple, si le résolveur
ne gère pas du tout EDNS (ici, Google
DNS) :
% dig @8.8.8.8 +short test.rs.ripe.net txt
rst.x477.rs.ripe.net.
rst.x481.x477.rs.ripe.net.
rst.x486.x481.x477.rs.ripe.net.
"209.85.228.94 DNS reply size limit is at least 486 bytes"
"209.85.228.94 lacks EDNS, defaults to 512"
"209.85.228.94 summary bs=512,rs=486,edns=0,do=0"
Certes, c'est une limite anormale en 2010 mais cela ne cassera sans
doute pas
lors de la signature de la racine : si le résolveur n'émet pas de
paquets EDNS, il ne pourra pas mettre le bit DO à 1 (
Autre cas intéressant, celui de