Se cacher dans le Flood DNS

Dans son article Utiliser un résolveur DNS public ? Stéphane Bortzmeyer explique les avantages et inconvénients (confidentialité et fiabilité technique) des différentes configurations:

  • Utiliser un résolveur public,
  • Utiliser un résolveur privé (dans le lan), faisant ses requêtes directement vers les serveurs racines,
  • Un resolveur privé s’appuyant sur un résolveur public implémentant le DNS sur TLS ,
  • etc... Lisez son article (et les autres) c’est intéressant.

Je suggère comme autre alternative [1] d’avoir son propre resolveur qui répond aux spécifications suivantes:

_ Il (le résolveur DNS) accepte les requêtes DNS sur TLS s’il est en dehors du LAN domestique,

_ Il s’adresse directement aux serveurs racines afin d’éviter les problématiques de résolveurs intermédiaires menteurs,

_ Partager ce résolveur avec un service qui fait énormément de requêtes DNS (afin de noyer les votres dans la masse pour gêner celui qui chercherait à écouter vos flux DNS): Il suffit d’un serveur de messagerie, subissant une quantité normale de tentatives de spams (95% des mails), et prenant le temps pour chaque message reçu:

  • De vérifier les enregistrements SPF et DKIM du domaine expéditeur,
  • puis les MX,
  • Enfin, quelques requêtes (DNS) vers des services de blacklists.

De cette manière on pourrait trouver une utilité indirecte aux spammeurs.

Note

[1] Qui n’est pas accessible à madame Michu.

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

La discussion continue ailleurs

URL de rétrolien : https://blog-du-grouik.tinad.fr/trackback/971

Fil des commentaires de ce billet

Page top