J'ai trouvé pas mal de routeur Zyxel mal configuré où le service cache DNS écoute (et répond) sur le Wan.
Et ils sont souvent en train de participer à une attaque DDOS par amplification...
Ouais, c'est clair. Mais en jouant "l'avocat du diable", on peut aussi dire : "j'ai trouvé pas mal d'abonnés qui ont des machines infectées qui font partie de botnets, donc on leur coupe purement et simplement l'accès au réseau". Une machine Windows sortie du carton n'est probablement pas plus propre qu'un routeur Zyxel mal configuré.
De manière générale j'ai l'impression que les abonnés MilkyWan sont suffisemment compétents pour comprendre de quoi il retourne si Hugues ou le SIEA leur signale qu'ils ont un DNS ouvert. C'est pour ça que MW peut offrir un réseau neutre et sans bridage. "Mme Michu" (ou Mr Michu, ne soyons pas sexistes) va habituellement chez Orange / SFR / Free.
Ce genre de cas doit se gérer par un texte de conditions d'utilisation, par par filtrage par défaut. Et un scan d'un range pour voir s'il y a un relais DNS ouvert, c'est 10 lignes de script, et on agit au coup par coup sur les positifs.