Chez Alice, la résolution DNS n'est pas transparente
2006-04-27
Disclaimers
Ce document présente un cas particulier et il ne faut en aucun cas
généraliser à l'ensemble des abonnés Alice, même si j'ai eu
quelques echos dans ce sens.
Pourquoi Alice ?
Question: Pourquoi suis-je contraint et forcé d'utiliser une connexion
ADSL gérée par Alice ?
Réponse: parce que ce n'est pas moi qui ai choisi !
Malgrès tous les atouts de la
jeune mannequin répresentant cette Alice qui vante les mérites
de la transparence (de sa robe ?), je sais où sont mes intérêts de
professionel auto proclamé d'Internet et je sais que tous les
charmes d'une connexion ADSL ne sont pas dans le string de la
vendeuse, mais plutôt dans la tête des ingénieurs et
des techniciens réseau et télécom qui font fonctionner ce réseau.
Bref, je me retrouve à utiliser une connexion Alice ADSL
produit de la société Telecom Italia.
A priori je ne suis pas sectaire car je suis moi-même abonné Alice
ADSL via un ancien abonnement à l'offre RTC illimité de feu
Tiscali France (ex Liberty Surf). Et je n'ai jamais eu d'autres
problèmes que des déconnexions intempestives subies au fin fond de la
belle campagne Sarthoise.
Mais là, c'est le drame.
L'histoire, les problèmes
Donc tout débuta par une visite dans cet appartement et par une
séance de surf sur l'ordinateur relié à cette connexion Alice
ADSL. C'était une belle journée de grisaille où j'ai pesté contre
le modem Alice, contre Microsoft Windows XP, contre Internet Explorer,
contre les spywares et les anti spywares,
contre les virus et les anti virus, le CPE ... (ah non pas le CPE):
Mais pourquoi les sites ne se chargent-ils pas ? Pourquoi
Internet Explorer répond une fois sur deux: site introuvable ?
J'en ai profité remplacer Internet Explorer par Mozilla Firefox. (Correction: il
est impossible de le supprimer, c'est encore plus accroché qu'une
moule à une tribune).
C'est une vrai révolution coté ergonomie et sécurité, mais cela ne
change rien au problème d'origine à part le message d'erreur en cas
de site introuvable.
J'ai remplacé le modem Alice (un Sagem F@ST 900 je crois) par un
modem routeur (mais surtout firewall !) Netgear
DG834GT, mais sans résultat probant du coté de
l'accès aux sites, mais avec une sécurité accrue pour le pauvre
ordinateur sous Microsoft Windows XP (et la possibilité pour moi de
connecter simplement mon ordinateur à Internet via WiFi).
Donc avec la possibité de brancher mon ordinateur portable sous
Mandriva Linux, j'ai pu constater que j'avais
aussi des problèmes d'accès aux sites, mais plus rare. Toutefois
l'accès aux sites restait long, très long, à croire que l'on faisait la
queue au portillon du web. Mais je n'ai pas eu l'occasion de
creuser plus le problème cette fois là.
Une autre fois, sur l'ordinateur sous Microsoft Windows XP, j'ai
vérifié la résolution DNS avec
nslookup
en réglant le timeout et en jouant avec
ipconfig /flushdns.
Et là j'ai constaté qu'il y avait vraiment un souci de ce coté là,
j'ai donc chercher tout ce qui était en rapport avec la résolution
DNS et le firewall sous Microsoft Windows XP, sans trouver un seul
réglage approprié pour paramétrer les timeout et temps
de mise en cache.
A partir de là, je suis revenu avec mon ordinateur sous
Mandriva Linux et j'ai joué avec la commande
dig livré avec bind le serveur DNS de
référence, et là j'ai découvert le fond de la surface du
problème: plus d'une seconde pour répondre à une simple requête DNS
c'est surprenant, mais en répétant cette requête j'obtenais des
temps de réponse différent, parfois plus long, parfois plus court
alors que la réponse est censée être mise en cache par le
serveur DNS.
En bref,
je ne profite pas d'une meilleure web-expérience
chez Alice ADSL
et
le surf est presque plus désagreable qu'avec une
connexion RTC.
Les mesures
A partir de ce moment j'ai emménager dans l'appartement et pu (hum, dû)
utiliser la connexion ADSL de façon régulière.
Quelques scripts perl utilisant
RRDtool plus tard,
j'ai supervisé les temps de résolution DNS des serveurs de
nom fournis lors de la connexion PPP, plus ceux d'un autre serveur
de nom récursif afin d'avoir une référence indépendante.
Et afin de vérifier que le problème n'est pas dû à un problème réseau,
j'ai aussi supervisé le temps de connexion au service echo/tcp de
ces 3 serveurs. (Note: je n'utilise pas d'ICMP
"echo message" parce que mes
programmes ne fonctionnent pas en root).
Les mesures sont répétées toutes les 5 secondes. Si une requête met
plus de 5 secondes à aboutir, elle est considérée en erreur.
La requete DNS se fait sur panel.lost-oasis.fr, parce que
c'était une adresse que j'avais ouvert dans mon navigateur
et que c'est un CNAME (donc qui pointe vers un autre nom), donc une
requête un petit peu complexe.
Et voici quelques extraits signaficatifs:
|
Temps de résolution sur une heure le 2006-04-20.
C'est le pire que j'ai rencontré, on constate que le temps de
résolution du serveur DNS plafonne au dessus de 4s.
|
|
La vue de la journée du 2006-04-20 prise à 21h20.
|
|
Vue de la semaine à partir de 2006-04-20 (midi).
|
Je précise que la connexion n'est pas utilisée pour faire serveur,
qu'aucun logiciel de peer to peer n'est utilisé, et il n'y a pas de
QoS configuré sur l'ordinateur qui fait les mesures ni sur le
modem-routeur.
Interprétations
On constate sur les courbes que le serveur DNS primaire
(82.148.1.218) répond dans des délais complétement erratiques avec
une progression suivant la journée qui culmine en soirée.
Et on constate carrément des coupures régulières (environ toutes
les heures) de 5 à 15 minutes environ, pendant lesquels aucune
réponse n'est reçue.
Pendant ce temps là son compère le serveur DNS secondaire
(82.148.0.53) répond de façon quasiment constante, de même que le
serveur de référence qui lui est soumis à une latence réseau plus
importante.
Conclusion
chez Alice, la résolution DNS est loin d'être transparente, mais elle est
parfois inexistante.
Techniquement il faudrait revoir l'architecture de résolution
DNS, en répartissant la charge sur plusieurs serveurs ou en
utilisant un serveur plus performant.
De plus les serveurs DNS Primaire et Secondaire sont ouverts à la
récursion extérieure et cela n'est recommandé car ils peuvent
servir de relais pour des attaques de DoS.
Lire l'article
Il
est recommandé de fermer les serveurs DNS récursifs ouverts
écrit par Stéphane Bortzmeyer pour plus d'information.
