[quote=“mattotop”][quote=“mattotop”]quote="ripat"
Quant au caractère public et désintéressé de mon ISP, j’ai des doutes.[/quote]Lui, non, mais son dns qui respecte la rfc, si. [/quote]
Je viens de penser: rien n’empêche de s’installer un dns cache patché, et de ne déclarer aucun dns autres que les root-servers. Ca m’étonnerais qu’eux ne soient pas surprotègés contre les attaques.[/quote]
Ça me semble être limite égoïste, ils sont puissant soit mais en tant que particulier ais-je réellement besoin de l’un des 13 ou 14 DNS les plus sûr et performant du globe ?

Non, cela remplit petit à petit le cache de ton DNS et rapidement il n’inbterroge plus les DNS racines mais ceux de son cache. J’ai tracé il y a longtemps les requêtes du serveur DNS, celles destinées aux serveux racines sont très rares (uptime du DNS de + de 200 jous, le cache devait être conséquent).

Je comprends le mécanisme. C’est vraiment pas mal.

L’exploit s’est “enrichi” d’une injection des NS grâce à un de vos compatriotes: Cédric Blancher.

Article:
blogs.zdnet.com/security/?p=1546

Exploit (version 2)
caughq.org/exploits/CAU-EX-2008-0003.txt

[quote]Credits

Dan Kaminsky is credited with originally discovering this vulnerability.

Cedric Blancher <sid (@) rstack.org> figured out the NS injection method and
was cool enough to email us and share!
[/quote]

D’après une étude autrichienne pas plus de 35% des “resolvers” ont patché.
cert.at/static/cert.at-0802-DNS- … alysis.pdf