Quels ports le DNS utilise-t-il ? 53, DoT, mDNS
Le DNS utilise le port 53 en UDP et en TCP, avec DNS-over-TLS sur 853, mDNS sur 5353 et LLMNR sur 5355. Découvrez pourquoi, les attaques DNS et comment chiffrer les requêtes.
Le DNS est l'annuaire d'internet, traduisant des noms comme example.com en adresses IP. La plupart des gens savent qu'il vit sur le port 53 — mais le tableau complet implique deux protocoles de transport sur ce seul port, une variante chiffrée, et quelques cousins de découverte sur réseau local. Ce guide passe en revue chaque port DNS et les problèmes de sécurité qui les accompagnent. Chaque port renvoie vers sa fiche ProtocolPorts complète, ou vous pouvez parcourir tous les ports.
Les ports DNS en un coup d'œil
| Port | Protocole / Service | Chiffré ? | Rôle |
|---|---|---|---|
| 53 | DNS (UDP) | Non | Requêtes de noms standard |
| 53 | DNS (TCP) | Non | Transferts de zone, grandes réponses |
| 853 | DNS-over-TLS (DoT) | TLS | Requêtes chiffrées |
| 443 | DNS-over-HTTPS (DoH) | TLS | Requêtes chiffrées dans HTTPS |
| 5353 | mDNS | Non | Découverte locale sans configuration |
| 5355 | LLMNR | Non | Résolution de noms locale (Windows) |
Pourquoi le port 53 utilise à la fois UDP et TCP
La particularité du DNS est que le port 53 est enregistré pour à la fois UDP et TCP, et qu'un serveur sain utilise les deux.
UDP est le choix par défaut pour les requêtes normales. Une requête est une petite demande et une petite réponse, donc la nature sans connexion et à faible surcharge d'UDP est parfaite — pas de négociation, juste demander et répondre. La grande majorité du trafic DNS est en UDP sur le port 53.
TCP intervient dans deux situations :
- Transferts de zone. Quand un serveur DNS secondaire copie une zone entière depuis un primaire, les données sont bien trop volumineuses et trop importantes pour risquer l'UDP, donc le transfert utilise TCP.
- Grandes réponses. Les réponses UDP étaient historiquement plafonnées, et toute réponse qui ne tient pas — fréquent avec les signatures DNSSEC ou les enregistrements à nombreuses entrées — bascule sur TCP. Le serveur active un drapeau « tronqué » et le client réessaie sur TCP.
Donc si vous filtrez le DNS par pare-feu, pensez à autoriser le port 53 sur les deux transports, sinon les réponses volumineuses et signées échoueront silencieusement.
DNS chiffré : DoT et DoH
Le DNS classique sur le port 53 n'est pas chiffré. Chaque requête que vous effectuez est visible par votre réseau, votre FAI et quiconque se trouve entre les deux, et elle peut être falsifiée. Deux normes corrigent cela :
- DNS-over-TLS (DoT) enveloppe le DNS dans une session TLS sur son propre port 853 dédié. Parce qu'il a un port distinct, les opérateurs réseau peuvent voir que vous utilisez un DNS chiffré, même s'ils ne peuvent pas en lire le contenu.
- DNS-over-HTTPS (DoH) envoie les requêtes DNS dans du HTTPS ordinaire sur le port 443. Comme il ressemble à n'importe quel autre trafic web, il est beaucoup plus difficile à bloquer ou même à détecter — un atout pour la confidentialité, et un casse-tête pour les administrateurs réseau qui veulent de la visibilité.
Les deux protègent la confidentialité et l'intégrité de vos requêtes. Choisissez DoT quand vous voulez du chiffrement plus une gérabilité réseau, et DoH quand vous voulez que les requêtes se fondent dans le trafic web.
Résolution de noms sur réseau local : mDNS et LLMNR
Deux protocoles gèrent la résolution de noms sur un réseau local sans serveur DNS central :
- Multicast DNS (mDNS) sur le port 5353 alimente la découverte sans configuration — trouver des imprimantes, des enceintes et des noms d'hôtes
.localsur le LAN. C'est ce qu'utilisent Bonjour et Avahi. - Link-Local Multicast Name Resolution (LLMNR) sur le port 5355 est un protocole Microsoft qui résout les noms locaux quand le DNS est indisponible.
Les deux sont pratiques mais comportent une mise en garde de sécurité : parce que n'importe quel appareil du segment peut répondre à une requête de nom multicast, LLMNR (et son cousin NetBIOS) est une cible bien connue d'attaques de mystification et de relais d'identifiants sur les réseaux Windows. De nombreuses équipes de sécurité désactivent entièrement LLMNR sur le port 5355.
Les attaques basées sur le DNS à connaître
L'ouverture du DNS en fait une cible et un outil fréquents pour les attaquants :
- Amplification / réflexion. Parce qu'une petite requête UDP usurpée vers le port 53 peut déclencher une grande réponse, les attaquants abusent des résolveurs ouverts pour inonder une victime de trafic. Ne faites pas tourner de résolveurs récursifs ouverts, et appliquez une limitation du débit de réponses.
- Empoisonnement de cache. Un attaquant injecte de faux enregistrements dans le cache d'un résolveur afin que les victimes soient envoyées vers des IP malveillantes. DNSSEC, qui signe les réponses, est la défense principale — et une raison pour laquelle le repli TCP sur le port 53 importe, puisque les réponses signées sont plus volumineuses.
- Transferts de zone non autorisés. Si un serveur autorise les transferts de zone sur le port 53 TCP à n'importe qui, les attaquants peuvent télécharger toute votre carte DNS interne à des fins de reconnaissance. Restreignez les transferts aux secondaires connus.
Conclusion
Le DNS vit sur le port 53 en UDP et en TCP — UDP pour la rapidité, TCP pour les transferts de zone et les grandes réponses. Chiffrez vos requêtes avec DoT sur le port 853 ou DoH sur le port 443, méfiez-vous des résolveurs locaux sur le port 5353 et le port 5355, et protégez-vous contre l'amplification, l'empoisonnement et les fuites de transfert de zone. Recherchez tout port inconnu sur ProtocolPorts.