resolution de nom de domaine

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

resolution de nom de domaine

Messagepar camlpet » 02 Mai 2004 07:56

Bonjour à tous,
recement, un ping sur le site de la caisse d'epargne m'a donné un resultat etrange.
ping www.caisse-epargne.fr
Pinging www.caisse-epargne.fr [217.167.18.142] with 32
au second essai, une seconde plus tard
ping www.caisse-epargne.fr
Pinging www.caisse-epargne.fr [195.115.15.142] with 32
désole, c'etait une machine windows, car mon pppd plante en ce moment...
C:\Documents and Settings\Administrator>nslookup www.caisse-epargne.fr
Server: dns-rtc-gpe1-a.wanadoo.fr
Address: 80.10.246.5

Non-authoritative answer:
Name: www.caisse-epargne.fr
Address: 217.167.18.142


C:\Documents and Settings\Administrator>nslookup www.caisse-epargne.fr
Server: dns-rtc-gpe1-a.wanadoo.fr
Address: 80.10.246.5

Non-authoritative answer:
Name: www.caisse-epargne.fr
Address: 195.115.15.142

Je suis un peu soucieux, c'est ma banque, et la premiere adresse est loaclisée (www.geobytes.com) au cambodge !!!
Comment est-il possible que le meme nom de domaine ai deux addresses ip differentes ? Sur la requete de resolution de nom, il n'y a qu'une adresse indiquée.
Est il possible que des pirates aient spoofé les DNS de mon ISP, auquel cas je me connecte sur un faux site de la caisse d'epargne ?
(le fichier host de ma machine est correct)
Merci de vos lumieres ..

Caml
Avatar de l’utilisateur
camlpet
Matelot
Matelot
 
Messages: 4
Inscrit le: 26 Jan 2004 01:00

Messagepar jibe » 02 Mai 2004 09:28

Pour info : je viens de faire une série de 8 pings sur la caisse d'épargne. Le premier et le quatrième me trouvent IP=217.167.18.142, tous les autres IP=195.115.15.142.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar tomtom » 02 Mai 2004 11:46

Reagrd du coté des éround robin dns" dans google.

Ca devrait t'eclairer.

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar camlpet » 02 Mai 2004 22:47

Tomtom, Jibe,
merci de vos réponses, ainsi que pour la piste round robin dns. C'est effectivement bien ce qui à l'air de se passer, meme si je suis étonné que le site soit localisé au Cambodge (a moins que geobytes ne raconte des blagues).
Ce qui m'étonne quand meme, c'est que pour un site comme google, un nslookup indique les addresses IP possible correspondant au nom de domaine.
nslookup google.com
Server: dns-rtc-gpe1-a.wanadoo.fr
Address: 80.10.246.5

Non-authoritative answer:
Name: google.com
Addresses: 216.239.37.99, 216.239.39.99, 216.239.57.99

Je me demande pourquoi ce n'est pas la meme chose avec la caissse-epargne.fr ? C'est à dire toutes les adresses possibles presentes en retour ? (c'est un peu ce qui m'a fait douter que je me connectais sur le bon site)
En tout cas merci,
Alexis
Avatar de l’utilisateur
camlpet
Matelot
Matelot
 
Messages: 4
Inscrit le: 26 Jan 2004 01:00

Messagepar ender92 » 04 Mai 2004 07:02

camlpet a écrit:Tomtom, Jibe,
merci de vos réponses, ainsi que pour la piste round robin dns. C'est effectivement bien ce qui à l'air de se passer, meme si je suis étonné que le site soit localisé au Cambodge (a moins que geobytes ne raconte des blagues).
Ce qui m'étonne quand meme, c'est que pour un site comme google, un nslookup indique les addresses IP possible correspondant au nom de domaine.
nslookup google.com
Server: dns-rtc-gpe1-a.wanadoo.fr
Address: 80.10.246.5

Non-authoritative answer:
Name: google.com
Addresses: 216.239.37.99, 216.239.39.99, 216.239.57.99

Je me demande pourquoi ce n'est pas la meme chose avec la caissse-epargne.fr ? C'est à dire toutes les adresses possibles presentes en retour ? (c'est un peu ce qui m'a fait douter que je me connectais sur le bon site)
En tout cas merci,
Alexis


il s'agit probablement de l'interface web frontale qui est uniquement en round robin dns.
la base de données clients est par contre localisée à un seul endroit qui n'est surement pas l'adresse ip publique que tu trouves en faisant nslookup puisque c'est du flux publique=>privé en passant les frontaux web caisse d'épargne.

tes comptes sont donc en toute sécurité ;)
ender92
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 27 Avr 2004 11:23

Messagepar camlpet » 04 Mai 2004 07:19

Ouf, mes noisettes sont sauves ... :)
merci encore.
Alexis
Avatar de l’utilisateur
camlpet
Matelot
Matelot
 
Messages: 4
Inscrit le: 26 Jan 2004 01:00

Messagepar tomtom » 04 Mai 2004 09:30

De plus, il serait un peu long de se lancer dans des explications sur le peering, mais si tu regardes dans les bases whois tu verras que ces deux ip appartiennent à Cegetel, qui est suremement fournisseur de l'ecureuil.
Et avec des traceroute, tu peux voir que tout ça tombe dans un centre de peering cegetel, et qu'ensuite c'est certainement le fournisseur de traffic qui change, ce qui permet d'avoir de la redondance en cas de panne chez l'un des deux.

M'etonnerait fort que le serveur qui repond soit basé au Cambodge, je pencherai plutot pour paris...!
A mon avis, Geobyte a un petit problème de localisation sur le coup ;)

Exemple :

traceroute to 195.115.18.142 (195.115.18.142), 30 hops max, 38 byte packets
.
.
.
.
11 * * *
12 * * *
13 brasilia2.magic.fr (195.115.16.232) 18.865 ms !H 24.502 ms !H 30.261 ms !H

et essaye donc de localiser 195.115.16.232 avec Geobytes, tu seras surpris.

Attention à ne pas oublier que ip n'est pas un protocole qui permet facilement la localisation d'hotes, car il n'y a pas de hierarchie. C'est une point qui essaye d'etre corrigé avec V6. Il est souvent difficile de "localiser" vraiment un ip...

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron