Skip to content
PortsDB

Référence des ports

Port 53 (TCP/UDP) – DNS

Domain Name System — résout les noms d'hôtes en adresses IP et sert les données de zone.

tcpudpWell-knownSouvent attaqué

État par défaut

Ouvert sur chaque résolveur récursif et serveur de noms faisant autorité. Souvent exposé involontairement comme résolveur ouvert sur Internet.

Attaques courantes

  • DDoS par amplification / réflexion via des résolveurs ouverts
  • Transfert de zone non autorisé (AXFR) divulguant les enregistrements internes
  • Empoisonnement de cache et usurpation des réponses récursives
  • Tunneling DNS pour l'exfiltration furtive et le C2

Durcissement

  • Désactiver la récursivité ouverte — ne répondre qu'aux clients de confiance
  • Restreindre les transferts de zone (AXFR) aux secondaires autorisés par IP et TSIG
  • Activer la validation DNSSEC pour contrer l'empoisonnement de cache
  • Limiter le débit des réponses (RRL) pour atténuer l'amplification
  • Maintenir BIND/Unbound/Knot à jour ; séparer les rôles autoritaire et récursif

Commande nmap

nmap -sU -p53 --script dns-recursion,dns-zone-transfer,dns-cache-snoop <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 53

Le port 53 transporte le Domain Name System (DNS), qui traduit les noms d'hôtes lisibles en adresses IP et sert d'autres types d'enregistrements (MX, TXT, SRV). Il est utilisé à la fois par les résolveurs récursifs qui recherchent les réponses pour les clients et par les serveurs de noms faisant autorité qui publient les enregistrements d'une zone. UDP 53 traite la majorité des requêtes ; TCP 53 sert aux réponses volumineuses et aux transferts de zone.

Pourquoi c'est important pour la sécurité

Le DNS est fondamental — si la résolution est empoisonnée ou indisponible, presque tout en aval s'effondre. Comme une minuscule requête UDP peut déclencher une grande réponse, les résolveurs ouverts sont détournés comme amplificateurs dans des DDoS par réflexion qui submergent des victimes tierces. Les serveurs autoritaires qui autorisent les transferts de zone non restreints divulguent une carte complète des hôtes internes, et les résolveurs sans DNSSEC peuvent être trompés pour mettre en cache des réponses falsifiées.

Comment il est attaqué

Les attaquants énumèrent les résolveurs ouverts et y reflètent des requêtes à source usurpée pour un DDoS par amplification. Contre les serveurs autoritaires, ils tentent des transferts de zone AXFR pour récolter les enregistrements internes. Les résolveurs récursifs sont ciblés par empoisonnement de cache et usurpation pour détourner la résolution, tandis que des hôtes compromis utilisent le tunneling DNS pour exfiltrer des données à travers les pare-feu.

Liste de durcissement

Désactivez la récursivité ouverte et ne servez les requêtes récursives qu'aux clients connus. Restreignez l'AXFR aux secondaires autorisés via des listes d'IP et des clés TSIG. Déployez la validation DNSSEC pour stopper l'empoisonnement de cache, et activez la limitation de débit des réponses pour freiner l'amplification. Séparez les rôles autoritaire et récursif, et maintenez votre logiciel DNS à jour. Utilisez la commande nmap ci-dessus pour vérifier l'exposition à la récursivité et au transfert de zone sur les serveurs que vous êtes autorisé à tester.

Ports liés

Port 853Port 67Port 123Port 88

Questions fréquentes

Le DNS utilise-t-il TCP ou UDP ?
Les deux. Le DNS utilise UDP 53 pour la plupart des requêtes et bascule sur TCP 53 pour les réponses dépassant la limite UDP et pour les transferts de zone (AXFR).
Pourquoi un résolveur DNS ouvert est-il dangereux ?
Les résolveurs ouverts répondent aux requêtes récursives de n'importe qui, permettant aux attaquants d'usurper l'IP d'une victime et d'exploiter l'écart petite requête/grande réponse pour un DDoS par amplification.