Reprise du message précédent :
ouai, mais je peux même l'utiliser bourré, car grâce à mon shell je vois bien....  
 
udok > heu au fait, le cache c'est pas une raison hein, faut prendre le problème où il est, le patch neutralise les redirections sur la ou les adresse(s) sitefinder

 
euh, j'en sais rien, c'est juste une suposition
j'ai remarqué que les sites qui continuaient à pointer apres que j'ai patché mon bind (qui pointe vers les dns de wanadoo), sont des combinaisons de lettres basiques, qui ont de grande chance d'avoir été tappé par quelqu'un ayant fait le test parmi les clients de wanadoo
alors que les combinaisons à la mort moi le noeuds, ça marche
de plus si justement qq'un a déjà fait la combinaison avant que wanadoo ait patché (ce qu'il n'a sans doute pas encore fait puisque de toute façon il me semble qu'il faut redémarrer bind, et ils doivent perdre leur cache non ? (enfin là ça me parait gros, ça leur ferait une sacré chargent apres le reboot de bind ... m'enfin j'en sais rien)), alors le couple adresseàlacon/ipdeverysign est enregistré dans le cache du fai
enfin c'est ce que je me dis mais j'en sais rien en fait

 
le fonctionnement, c'est normalement le cache est conservé en mémoire pendant un certain temps, puis au bout de ce certain temps, c'est enregistré en dur au cas où il y aurait une défaillance (serveur qui tombe par exemple), mais là le problème est tout autre, c'est qu'en fait les adresses sitefinder sont carrément filtrées une fois le patch appliqué, donc il ne doit pas y avoir de réponse "NOERROR" et de pointage sur sitefinder mais bel et bien un "NXDOMAIN"
 
par contre c'est bizarre que ton bind patché te renvoit encore une réponse NOERROR, normalement avec n'importe quelle commande (dig, nslookup, host, ...) tu devrais avoir un retour négatif, j'ai fait le test justement sur des adresses que j'avais déjà testé avant le patch et effectivement depuis j'ai pas eu un seul NOERROR malgré ma redirection sur les dns wanadoo et les root servers

Just Votaid ...

 
rah dig ! je retrouvais plus le nom de cette maudite commande ... c'est quand même un peu plus puissant que host ... du moins quand on passe pas de param supplémentaire
 
pour le premier paragraphe : tu es consciens que je ne te parle pas de mémoire cache ?
 
deuxieme paragraphe : bah là j'en sais vraiment rien, je vais essayé de retrouver un exemple

 
j'ai l'impression que l'on ne s'est pas compris  
 
enfin moi je ne parlais pas de mémoire cache système, mais de cache DNS conservé en mémoire jusqu'à l'insertion dans un cache en "dur" qui lui est plus tard nettoyé selon la validité des domaines
 
edit : eaurtaugrafe à 4h30 c'est plus trop ça

 
ouai on est d'accord
enfin bon, vu que je sais pas exactement comment c'est géré (je connais les grandes lignes mais apres je connais pas dans le détail), j'ai pas trop envi de gratter ça à cette heure ci
 
d'ailleurs j'ai pas trouvé d'host à me refaire le coup donc ça doit être régler

Euh ... pkoi tu redirige sur les serveurs DNS Wanadoo ET les root servers ? Si je n'ai pas de serveur DNS, est-ce qu'il existe un DNS public qui évite la redirection Verisign ?
 
Sinon, je ne sais pas si vous l'avez vu, mais cette redirection DNS n'est pas mentionnée dans les news Verisign :
http://www.verisign.com/corporate/ [...] ?sl=060801
http://www.verisign.com/nds/naming/

 
Parceque les IP des services wanadoo changent selon si on utilise leur DNS interne ou si on résoud par l'extérieur. Si tu ne résouds que pour les root serveurs, tu n'as pas accès à certaines parties du site concernant la facturation ou la gestion de ton compte.

 
ouai tout à fait, malgré mes redirections sur leurs NS je n'ai d'ailleurs pas accès aux parties "mon compte", il faut que la résolution soit directement effectuée par un serveur de wanadoo dans le domaine wanadoo.fr, vu que mes DNS primaire et secondaire (2 réseaux distincts) sont ceux de mon serveur DNS, ben ça passe pas....
 
- Fred - : sinon je redirige d'abord sur les NS wanadoo, puis sur les NS root servers, pourquoi ? j'utilise en priorité les 6 NS wanadoo pour éviter d'aller interroger les root servers pour rien, ensuite si les 6 NS wanadoo sont en rade, ça attaque directement la résolution sur un root server, donc jamais de panne DNS comme ça....

http://www.imperialviolet.org/dnsfix.html

 
c'est bien ça
moi j'utilise 2 ns wanadoo,  2 ns free, puis les root  

edit: j'ai trouve, merci

 
faut rajouter ça dans named.conf :

desole mais j'avais pas penser a la mailing list et puis d'uncoup ca m'est revenu

http://fr.news.yahoo.com/030919/85/3ejy9.html
 
premier procès contre verisign

A quand même : 100 milllions de $...
 
Ils n'y vont pas avec le dos de la cuiller...

 
en dessous, ça fait ptit joueur

 
Tu demandes toujours beaucoup plus que ce que tu comptes obtenir.

ils vont payer un $ symbolique !
c'est le fleuront des us, ils n'y toucheront pas  

M'en fous qu'ils payent ou pas, quoique ca puisse servir d'exemple, l'important est qu'ils arrêtent de récupérer toutes les requêtes DNS non valides ...
 
Morceaux choisis de l'article :

 
qu'estce qui va les empecher de recommencer leur connerie si ils sont toujours protéger ??
ils n'en sont pas à leur premier méfait  

Qu'ils commencent par désactiver leur redirection pourrie, de toute façon Verisign a fait une très mauvaise opération médiatique et va perdre beaucoup de son image dans l'affaire. L'ICANN devrait à mon avis reprendre les droits qui lui reviennent ...

 
ils s'en foutent de leur image, ils veulent s'attirer des partenaires commerciaux, pas des copains  

Pour une boîte qui est censée attirer la confiance si, justement

En attendant que les FAI et leurs serveurs dns bloquent le truc de verisign, il y a toujours moyen d'éviter d'envoyer des infos à cette satanée boîte en droppant tous les paquets qui lui sont destinés et qui en proviennent comme ça il ne collecterons pas d'infos sur nous.
 
pour ceux qui utilisent iptables ça devrait donner des règles supplémentaires dans ce style :
 
iptables -A OUTPUT -d 64.94.110.11 -j DROP
iptables -A OUTPUT -s 64.94.110.11 -j DROP
 
et pour ceux qui font du nat faut aussi rajouter la même chose dans la chaine FORWARD (ou celles qui en dépendent) il suffit donc de changer OUTPUT dans les 2 commandes précédentes par le nom de la chaine en question
 
 
 
edit : les commandes à copier/coller pour les feignants  

 

 
un peu déjà dit mais c'est pas grave    
la solution du serveur dns patché est encore celle que je préfère (y-a quand même peut d'inconvénient)
mais tout le monde n'a pas accès à une telle solution, j'en conviens

oops j'avais zappé les messages suivant :
 
http://forum.hardware.fr/forum2.ph [...] t=#t325672
http://forum.hardware.fr/forum2.ph [...] t=#t325695
 
c'est vrai que ça avait déjà été dit.
 
mais mon post à l'avantage de donner la ligne que les feignants vont pouvoir copier/coller  

il leur en a fallu du temps pour arreter leur truc ... leur annonce date d'avant hier

fake  

 
Ouais, un prompt aussi moche, ça peut pas exister

tnt@246tNt-main tnt $ ping www.kfldsjlkfjsdkl.com
ping: unknown host www.kfldsjlkfjsdkl.com

Mais c p/e mon FAI qui a patché ses DNS ...

246tnt> bah c'est correct, non ?
 

ben oui c cool

apparement , c'est bon , j'utilise un serveur dns perso. et j'ai un
unknown host dfdsfdsfds.com
 
edit : un serveur dns non patché

Plop ?

 
plop !

oui c bon .
ils ont enfin dégagé cette p***** de redirection chez verisign