@cali : IPv6 arrive sur les mobiles Android en 2018. Pas de NAT en IPv6 et un /64 pour chaque mobile, avec toujours une présence sur les "Route server" de plusieurs GIX.
@DaveNull : On regarde la problématique que vous avez soulevé.
Ok, merci
La pragmatisme, c'est d'arrêter de raconter n'importe quoi, tel que "IPv6 sert à rien". L'épuisement d'IPv4 est une réalité, et le CGNAT n'est pas une solution, mais une bidouille pour temporiser l'inévitable… L'argument de "IPv6 n'est pas partout donc ça sert à rien" est le meilleure moyen de ne jamais résoudre le problème, de le perpétuer, puisque les FAI s'en servent parce que les services ne sont pas tous en IPv6, et les services ont la même excuse dans l'autre sens, tous les FAI ne proposent pas IPv6 à tous leurs clients.
Pourtant la solution est simple: Le dual-stack IPv6/IPv4 fonctionne très bien, et il y a des services déjà accessibles aussi bien en IPv4 qu'en IPv6. Ne pas fournir d'IPv6 sous prétexte que "c'est pas partout" pour préparer la future migration est une connerie, point finale
Explique nous donc comment un DNS bien configuré pourrait éviter de servir dans une attaque DDoS quand les attaquants modifient l'adresse IP source.
+1. Surtout que je vois pas le rapport entre des signatures DNSKEY invalides que je reçois pour tous les noms de domaines auxquels je me connecte, et une soit disant protection contre les attaques par amplification DNS utilise des serveurs qui acceptent de renvoyer de très grosses réponses aux petits requêtes.
De plus, le comportement d'un resolver se configure, Si la sécurité absolue n'existe pas, il existe de
bonnes pratiques pour limiter la casse
C'est certainement pas du MITM DNS qui va améliorer les choses, sauf à supposer que les résolveurs DNS qui font du MITM seraient magiquement plus fiables que n'importe quel resolver susceptible d'être interrogé par un client Bouygues, s'il y a avait du MITM… en gros que tous les serveurs pourraient être détournés par de méchants pirates pour faire du DDOS par amplification DNS, mais pas celui de Bouygues, donc empêcher l'utilisation de DNS tierces résoudrai magiquement le problème… bref, c'est très léger/pas crédible comme argument
Si on va par là, même s'ils ne peuvent pas capturer l'échange DNS (mettons parce que la réponse est dans le cache de l'application ou bien du PC), ils pourraient examiner le certificat TLS pour récupérer le (les) domaine(s).
Enfin je ne vois pas à quoi ça servirait, mais ils peuvent le faire!
Peu importe à quoi ça peut leurs service, c'était juste pour démontrer que le soit disant besoin de faire du MITM sur le DNS serai indispensable pour traquer les habitudes des users ("collecter des données sur les usages" pour dire fliquer les users de façon politiquement correcte), et que donc TLS et les CDN, n'empêchent absolument pas le FAI de savoir quels services les abonné⋅e⋅s utilisent.
EDIT: Enfait si, je vois très bien à quoi ça peut bien leurs servir… décider par exemple de brider le débit de Youtube, pour privilégier Dailymotion, quand tu t'appelle Orange, ou encore, dans le cas d'un site qui utilise un sous-domaine différent selon la version, décider qu'un méga-octet en download sur la version non mobile du site (tethering) « coûte plus cher » que le même mega octet reçu quand on utilise la version mobile du site (donc directement sur téléphone).