NO surf on google et MS.com [La Suite]

NO surf on google et MS.com [La Suite] - Sécurité - Windows & Software

Marsh Posté le 12-10-2004 à 00:14:25    

C'est la suite d'un topic pour lequel je n'avais pas trouvé d'explication sauf un début grâce à "pnar".
 
C'est assez simple après reflexion..
 
Le proxyDNS est activé sur le Routeur, ainsi dans mes paramétrages réseau de mon portable, les adresses IP DNS sont celles du routeur (198.162.1.1)
 
(Ca fonctionne bien, on peut surfer partout.)
 
1/J'ai deux règles de sécurité très simple dans Kerio pour les DNS:
 
en "sortant" : UDP  
Local: tous ports
distant : 192.168.1.1 [53]  
appli > c:\winnt\system32\services.exe
 
en "entrant" : UDP  
Local: tous ports
distant : 192.168.1.1 [53]  
appli > c:\winnt\system32\services.exe
 
 
Je peux ici surfer sur tous les sites SAUF Google (Microsoft est devenu possible car ils ont, dirait-on changé d'hebergeur)
 
google.fr est hébergé par akamaï (ou l'était encore il y a peu), donc on voyait apparaître www.google.akadns.net dans les connexions..
 
En "Sortant", il n'y a pas de problème, la requête trouve bien le serveur de Google.. (donc requête envoyé au DNS routeur qui renvoit ensuite sur les serveurs DNS Publics, puis sur le serveur hebergeant google) mais c'est ici que je ne comprends pas:
.. sur le retour de la requête, Akamaï semble faire fi du routeur, et au lieu de retourner la requête sur celui-ci qui me la transmettrait ensuite, le "bypass" pour me l'adresser directement :
on voit dans le log de Kerio:
"entrant" distant: pop2-q.free.fr [80.10.246.3] [53] vers localhost (mon portable)[2027] avec la bonne aplli signé c:\winnt\system32\services.exe !!!
 
comment s'y prennent'ils pour faire ce "bypass" ?


Message édité par serveur le 13-10-2004 à 13:23:50
Reply

Marsh Posté le 12-10-2004 à 00:14:25   

Reply

Marsh Posté le 12-10-2004 à 09:57:14    

up [:zion]

Reply

Marsh Posté le 13-10-2004 à 09:09:01    

pour les "ingé" reseaux .. up :)

Reply

Marsh Posté le 13-10-2004 à 09:18:24    

Je n'ai rien compris.  :D  en particulier à cette histoire de routeur qui fait DNS.  
 
C'est un problème de Firewall ou de DNS?

Reply

Marsh Posté le 13-10-2004 à 13:23:09    

Effectivement, c'est pas evident forcément à déterminer.
 
Le routeur à une fonction de proxy DNS qui optimise la navigation: donc dans les paramètres réseau du poste client, les adresses IP DNS (1 seule ici) sont celle du routeur (192.168.1.1)
 
Je surfe sur google si j'autorise dans le firewall toutes adresses IP en "retour" sur le port 53 .. Je ne surfe plus sur google si je maintiens mon adresse proxyDNS 192.168.1.1 port[53] dans mon firewall
 
Difficile de dire que c'est le proxyDNS du routeur qui ne fait pas son job juste pour google  [:ogmios]  
reste l'explication que google retourne des trames "non conforme" sur la requête de connexion et "bypass" le ProxyDNS du routeur en maintenant son adresse serveur sur la requête retour.. évidemment bloqué par le firewall.
 
J'espère avoir été un peu plus clair :(

Reply

Marsh Posté le 13-10-2004 à 13:24:06    

regarde du cote de la valeur MTU sur ton routeur

Reply

Marsh Posté le 13-10-2004 à 14:39:18    

le MTU est compris sur une plage 1000~1500 (il affichait 1442 au moment du telnet)..
pourquoi ? si les datagrams sont plus gros que 1500b ça ne serait pas pris en compte par le routeur et me renverrait le paquet directement ?


Message édité par serveur le 13-10-2004 à 14:44:55
Reply

Marsh Posté le 21-10-2004 à 20:21:08    

Bon un peu plus d'info mais qui m'amène pas de réponse encore.. les trames prises avec Ethereal:
 
http://serveur.levillage.org/eth1.gif
 
 
sur la trame de retour (la trame 6):
Frame 6 (545 bytes on wire, 545 bytes captured)
Internet Protocol, Src Addr: 80.10.246.3 (80.10.246.3), Dst Addr: 192.168.1.45 (192.168.1.45)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
    Total Length: 531
    Identification: 0x0000 (0)
    Flags: 0x04 (Don't Fragment)
    Fragment offset: 0
    Time to live: 58
    Protocol: UDP (0x11)
    Header checksum: 0x36f7 (correct)
    Source: 80.10.246.3 (80.10.246.3)
    Destination: 192.168.1.45 (192.168.1.45)
User Datagram Protocol, Src Port: domain (53), Dst Port: 1043 (1043)
    Source port: domain (53)
    Destination port: 1043 (1043)
    Length: 511
    Checksum: 0xc881 (correct)
Domain Name System (response)
    Transaction ID: 0x0009
    Flags: 0x8180 (Standard query response, No error)
    Questions: 1
    Answer RRs: 4
    Authority RRs: 11
    Additional RRs: 10
    Queries
        www.google.fr: type A, class inet
            Name: www.google.fr
            Type: Host address
            Class: inet
    Answers
        www.google.fr: type CNAME, class inet, cname www.google.com
            Name: www.google.fr
            Type: Canonical name for an alias
            Class: inet
            Time to live: 3 days, 21 hours, 30 minutes, 9 seconds
            Data length: 16
            Primary name: www.google.com
        www.google.com: type CNAME, class inet, cname www.google.akadns.net
            Name: www.google.com
            Type: Canonical name for an alias
            Class: inet
            Time to live: 9 minutes, 59 seconds
            Data length: 23
            Primary name: www.google.akadns.net
        www.google.akadns.net: type A, class inet, addr 66.102.11.104
            Name: www.google.akadns.net
            Type: Host address
            Class: inet
            Time to live: 10 seconds
            Data length: 4
            Addr: 66.102.11.104
        www.google.akadns.net: type A, class inet, addr 66.102.11.99
            Name: www.google.akadns.net
            Type: Host address
            Class: inet
            Time to live: 10 seconds
            Data length: 4
            Addr: 66.102.11.99
    Authoritative nameservers
        akadns.net: type NS, class inet, ns asia3.akam.net
            Name: akadns.net
            Type: Authoritative name server
            Class: inet
            Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
            Data length: 13
            Name server: asia3.akam.net
        akadns.net: type NS, class inet, ns za.akadns.org
            Name: akadns.net
            Type: Authoritative name server
            Class: inet
            Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
            Data length: 15
            Name server: za.akadns.org
        akadns.net: type NS, class inet, ns zc.akadns.org
            Name: akadns.net
            Type: Authoritative name server
            Class: inet
            Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
            Data length: 5
            Name server: zc.akadns.org
        akadns.net: type NS, class inet, ns zf.akadns.org
            Name: akadns.net
            Type: Authoritative name server
            Class: inet
            Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
            Data length: 5
            Name server: zf.akadns.org
        akadns.net: type NS, class inet, ns zh.akadns.org
            Name: akadns.net
            Type: Authoritative name server
            Class: inet
            Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
            Data length: 5
            Name server: zh.akadns.org
        akadns.net: type NS, class inet, ns eur3.akam.net
            Name: akadns.net
            Type: Authoritative name server
            Class: inet
            Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
            Data length: 7
            Name server: eur3.akam.net
        akadns.net: type NS, class inet, ns use2.akam.net
            Name: akadns.net
            Type: Authoritative name server
            Class: inet
            Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
            Data length: 7
            Name server: use2.akam.net
        akadns.net: type NS, class inet, ns use4.akam.net
            Name: akadns.net
            Type: Authoritative name server
            Class: inet
            Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
            Data length: 7
            Name server: use4.akam.net
        akadns.net: type NS, class inet, ns usw5.akam.net
            Name: akadns.net
            Type: Authoritative name server
            Class: inet
            Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
            Data length: 7
            Name server: usw5.akam.net
        akadns.net: type NS, class inet, ns usw6.akam.net
            Name: akadns.net
            Type: Authoritative name server
            Class: inet
            Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
            Data length: 7
            Name server: usw6.akam.net
        akadns.net: type NS, class inet, ns usw7.akam.net
            Name: akadns.net
            Type: Authoritative name server
            Class: inet
            Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
            Data length: 7
            Name server: usw7.akam.net
    Additional records
        za.akadns.org: type A, class inet, addr 208.185.132.176
            Name: za.akadns.org
            Type: Host address
            Class: inet
            Time to live: 4 hours, 32 minutes, 17 seconds
            Data length: 4
            Addr: 208.185.132.176
        zc.akadns.org: type A, class inet, addr 63.241.199.54
            Name: zc.akadns.org
            Type: Host address
            Class: inet
            Time to live: 2 hours, 50 minutes, 9 seconds
            Data length: 4
            Addr: 63.241.199.54
        zf.akadns.org: type A, class inet, addr 63.241.29.161
            Name: zf.akadns.org
            Type: Host address
            Class: inet
            Time to live: 4 hours, 32 minutes, 17 seconds
            Data length: 4
            Addr: 63.241.29.161
        zh.akadns.org: type A, class inet, addr 63.208.48.46
            Name: zh.akadns.org
            Type: Host address
            Class: inet
            Time to live: 2 hours, 50 minutes, 9 seconds
            Data length: 4
            Addr: 63.208.48.46
        eur3.akam.net: type A, class inet, addr 193.45.1.103
            Name: eur3.akam.net
            Type: Host address
            Class: inet
            Time to live: 2 hours, 56 minutes, 7 seconds
            Data length: 4
            Addr: 193.45.1.103
        use2.akam.net: type A, class inet, addr 63.209.170.136
            Name: use2.akam.net
            Type: Host address
            Class: inet
            Time to live: 2 hours, 52 minutes, 56 seconds
            Data length: 4
            Addr: 63.209.170.136
        use4.akam.net: type A, class inet, addr 80.67.67.182
            Name: use4.akam.net
            Type: Host address
            Class: inet
            Time to live: 2 hours, 56 minutes, 7 seconds
            Data length: 4
            Addr: 80.67.67.182
        usw5.akam.net: type A, class inet, addr 63.241.73.214
            Name: usw5.akam.net
            Type: Host address
            Class: inet
            Time to live: 2 hours, 52 minutes, 56 seconds
            Data length: 4
            Addr: 63.241.73.214
        usw6.akam.net: type A, class inet, addr 206.132.100.108
            Name: usw6.akam.net
            Type: Host address
            Class: inet
            Time to live: 2 hours, 56 minutes, 8 seconds
            Data length: 4
            Addr: 206.132.100.108
        usw7.akam.net: type A, class inet, addr 65.203.234.27
            Name: usw7.akam.net
            Type: Host address
            Class: inet
            Time to live: 2 hours, 56 minutes, 7 seconds
            Data length: 4
            Addr: 65.203.234.27
 
 
sur l'image,  
mon IP est 192.168.1.45
celle du routeur 192.168.1.1
80.10.246.3 ets une IP  ne correspondant pas à l'IP publique routeur, donc je suppose une IP des serveurs de Akamai ?
 
en on est loin des 1500 bytes du MTU possible si je ne me trompe et le pacquet n'est pas fragmenté..
 
Quelqu'un voit ?
 
:??:


Message édité par serveur le 21-10-2004 à 20:24:13
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed