Il est interdit aux FAI pour particuliers ayant pignon sur rue d’avoir des résolveurs DNS non menteurs en France, de plus, la plupart de nos gros FAI ne sont pas particulièrement « doués » dans le paramétrage et la gestion de leurs résolveurs...
Ça leur fait de toute façon plus de boulot (et au réseau aussi) d’intercepter et analyser tout le trafic sur les ports TCP|UDP/53 que de mettre des logs sur leurs résolveurs. La seule bonne solution est d’avoir un résolveur récursif (avec au minimum validation DNSSEC et qname minimisation) sur son LAN.
[^] # Re: Ceux du FAI
Posté par Hobgoblins Master . En réponse au journal DNS anonyme. Évalué à 2.
Il est interdit aux FAI pour particuliers ayant pignon sur rue d’avoir des résolveurs DNS non menteurs en France, de plus, la plupart de nos gros FAI ne sont pas particulièrement « doués » dans le paramétrage et la gestion de leurs résolveurs...
Ça leur fait de toute façon plus de boulot (et au réseau aussi) d’intercepter et analyser tout le trafic sur les ports TCP|UDP/53 que de mettre des logs sur leurs résolveurs. La seule bonne solution est d’avoir un résolveur récursif (avec au minimum validation DNSSEC et qname minimisation) sur son LAN.