DNS Publics
OpenNic
OpenNic est un groupe de volontaires proposant:
- des domaines de premier niveau (TLD) alternatifs, en dehors du monopole de l'ICANN américain ( ?bbs, .chan, .dyn, .fur, .geek, .gopher, .indy, .libre, .neo, .null, .o, .oss, .oz, .parody, .pirate),
- interconnexions avec d'autres réseaux alternatifs, comme Namecoin, Emercoin, New Nations
- une gouvernance démocratique
- un réseau de serveurs DNS pour ces domaines alternatifs interconnecté avec le réseau ICANN. Les TLD traditionnels sont donc utilisables avce les avantages des DNS OpenNic
- des serveurs DNS non censurants, non indiscrets (pas de logs ou logs anonymisés), non menteurs
- certains serveurs fonctionnent avec whitelist
- certains serveurs fonctionnent proposent cryptdns
Liens:
- OpenNic Project
- DNS sur android rooté
- wiki openNic
- liste des serveurs avec leurs caractéristiques (cryptDns, voir CA, DE)
DNS récursif OpenNic
le mieux est de demander une liste actuelles des serveurs actifs:
serveurs DNS proches ipv4
serveurs DNS proches ipv6
vérifier que le trafic Dns n'est pas intercepté par le Fai:
réponse normale
dig SOA . @106.186.17.181 -p 5353 +short
ns0.opennic.glue. hostmaster.opennic.glue. 2017031906 1800 900 604800 3600
serveur OpenNic visible, pas de traces apparentes de Dns hijacking
problème
dig SOA . @106.186.17.181 +short
a.root-servers.net. nstld.verisign-grs.com. 2015080300 1800 900 604800 86400
/!** a.root-servers.net n'est pas un serveur OpenNic**, mais cela pourrait être un autre serveur DNS introduit comme serveur faisant autorité
pour éviter de détournement, via l'interception du port 53, OpenNic propose un port alternatif 5353
dig SOA . @106.186.17.181 -p 5353 +short
ns0.opennic.glue. hostmaster.opennic.glue. 2017031906 1800 900 604800 3600
bonne réponse, utiliser ce port alternatif
FDN
Associatif, non censuré, non indiscret https://www.fdn.fr/actions/dns/
nameserver 80.67.169.12 # ns0.fdn.fr
nameserver 80.67.169.40 # ns1.fdn.fr
nameserver 2001:910:800::12
nameserver 2001:910:800::40
~~Google DNS~~
Cloudflare
- non indiscret
- permet TSL ou HTTPS, voir via dautres canaux exotiques comme sms, twitter, telegram, mail...
- rapide, enfin marketingement parlant
- 1.1.1.1
nameserver 1.1.1.1
nameserver 1.0.0.1
nameserver 2606:4700:4700::1111
nameserver 2606:4700:4700::1001
autres serveurs DNS ouverts
adguard alternate dns cleanbrowsing cloudfare comodo dns watch dyn oracle freenom freedns google level3 neustar norton connectsafe opendns quad9 uncensoredDNS verisign yandex
test performance
voir script utilitaire nstest, permettant de tester les serveurs de resolv.conf et/ou d'un fichier tiers et/ou la liste des serveurs ouverts ci-dessus
DNS FAI
notes pour mémoire historique, ces serveurs sont censeurs en France, menteurs et pas toujours d'un bonne fiabilité
aliceBox 212.27.40.240 212.27.40.241 (vérifié)
BT 194.158.122.10 194.158.122.15 (vérifié)
free 212.27.40.240 212.27.40.241 (vérifié)
nerim 195.5.209.150 194.79.128.150 (vérifié)
orange 80.10.246.2 80.10.246.129 (vérifié)
ovh 91.121.161.184 188.165.197.144 (vérifié)
sfr 109.0.66.10 109.0.66.20 (?)
numericable (?)
a voir
- /etc/resolv.conf
- man resolv.conf
- /etc/dhcp/dhclient.conf