Stephane Catteau a écrit :
La meilleure défense à ce niveau là reste de fixer en dur l'adresse
des DNS, et de n'autoriser le port 53 que vers ces adresses là. Cela
garantie (à 99%[1]) qu'aucun malware ne pourra utiliser ce port pour
franchir le filtre IP.
[1]
Il reste toujours la possibilité de corrompre l'un des serveurs DNS
pour qu'il puisse recevoir les données, mais on est là dans l'attaque
de haut vol.
Beaucoup plus simplement, il reste la possibilité de téléphoner maison au travers de requêtes DNS particulières qui aboutissent sur un serveur DNS contrôlé par le destinataire de la communication. L'efficacité en terme de débit risque de ne pas être énorme, mais on doit pouvoir faire des trucs sympa avec des requêtes TXT par exemple.
