Skip to content
PortsDB

Référence des ports

Port 853 (TCP) – DNS over TLS (DoT)

DNS over TLS — encapsule les requêtes DNS dans un tunnel TLS afin qu'elles ne puissent être ni lues ni altérées en transit.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert sur les résolveurs offrant le DNS chiffré. Port distinct et facilement bloquable, contrairement à DoH qui se cache dans HTTPS sur le 443.

Attaques courantes

  • Downgrade vers le DNS en clair sur le port 53 quand DoT est bloqué
  • Blocage du port 853 pour la censure ou pour forcer la résolution en clair
  • Usurpation de certificat / MITM contre les clients qui ne valident pas
  • Maliciel abusant de DoT pour cacher un C2 DNS à l'inspection

Durcissement

  • Épingler ou valider strictement le certificat et le SPKI du résolveur
  • Utiliser le mode Strict pour éviter un repli silencieux vers le port 53
  • Bloquer le DNS en clair sortant pour forcer la résolution chiffrée
  • Choisir des résolveurs de confiance et maintenir le serveur DoT (ex. Unbound) à jour
  • Journaliser et surveiller les points DoT pour un volume de requêtes anormal

Commande nmap

nmap -p853 --script ssl-cert,ssl-enum-ciphers <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 853

Le port 853 transporte DNS over TLS (DoT), qui encapsule les requêtes DNS ordinaires dans un tunnel TLS afin qu'elles ne puissent être ni lues ni altérées en transit. Il corrige la faiblesse fondamentale du DNS en clair sur le port 53, où les requêtes circulent en clair et peuvent être interceptées ou usurpées. DoT utilise un port dédié, ce qui le rend facile à identifier — à l'inverse de DoH sur le port 443, qui fond le DNS dans le trafic HTTPS normal.

Pourquoi c'est important pour la sécurité

DoT protège la confidentialité et l'intégrité de la résolution : un attaquant sur le chemin ne peut plus voir quels domaines un utilisateur visite ni injecter de réponses falsifiées. Ce gain de confidentialité compte, mais DoT ne cache pas les requêtes au résolveur lui-même, et son port distinct en fait une cible nette de blocage. Les adversaires qui ne peuvent lire le trafic tentent alors de forcer un downgrade vers le DNS en clair, où leurs techniques habituelles d'interception et d'empoisonnement fonctionnent à nouveau.

Comment il est attaqué

Opérateurs et attaquants bloquent le port 853 pour forcer les clients à revenir au port 53 en clair, puis interceptent ou empoisonnent ces requêtes — une attaque de downgrade. Les clients qui ne valident pas le certificat du résolveur peuvent subir un MITM avec un certificat usurpé. À l'inverse, des maliciels abusent de DoT pour chiffrer leur C2 DNS, cachant les commandes tunnelisées à l'inspection réseau.

Liste de durcissement

Validez ou épinglez le certificat du résolveur et son SPKI pour faire échouer le MITM. Configurez les clients en mode Strict afin qu'une connexion DoT bloquée ou défaillante ne se replie pas silencieusement vers le port 53, et bloquez le DNS en clair sortant pour imposer la résolution chiffrée. Choisissez des résolveurs de confiance et maintenez votre serveur DoT (comme Unbound) à jour. Les scripts nmap ci-dessus inspectent le certificat et les chiffrements TLS sur les hôtes que vous êtes autorisé à tester. </content>

Ports liés

Port 53Port 443Port 853Port 5355

Questions fréquentes

Quelle est la différence entre le port 853 (DoT) et le port 443 (DoH) ?
DoT sur 853 est un port TLS dédié ne transportant que du DNS, donc facile à identifier et bloquer. DoH sur 443 cache le DNS dans le trafic HTTPS ordinaire, le rendant plus difficile à distinguer.
DNS over TLS me rend-il anonyme ?
Non. DoT chiffre les requêtes vis-à-vis des espions sur le chemin, mais le résolveur lui-même voit toujours chaque domaine consulté. C'est de la confidentialité face au réseau, pas de l'anonymat.