protože stále více lidí přijímá novější funkce, jako je IPv6, vyhýbání se spamu a DNSSEC, DNS s větší pravděpodobností přepne na TCP kvůli větší velikosti odezvy.
co se stane, když je TCP blokován?
v každém případě, když velikost zprávy překročí 512 bajtů, spustí bit “ TC “ (zkrácení) v DNS, který má být nastaven, a informuje klienta, že délka zprávy překročila povolenou velikost. V těchto situacích musí klient znovu přenášet přes TCP, který nemá žádný limit velikosti., Pokud DNS servery a síťové prostředí nepodporuje velké pakety UDP, bude to způsobit přenos přes TCP; v případě protokolu TCP je blokován, velké UDP odpovědi budou buď výsledek v IP fragmentace nebo být zcela zrušeny. Koncovým příznakem koncového klienta je obvykle pomalé rozlišení DNS nebo neschopnost vyřešit určité názvy domén vůbec.
velikost záleží: EDNS
možná vás zajímá, odkud pochází limit velikosti 512 bajtů. Velikost užitečného zatížení UDP 512-byte je závislost na IPv4., IPv4 standard2 určuje, že každý host musí být schopen sestavovat pakety 576 bajtů nebo méně, vzít pryč záhlaví a další možnosti, které listy 512 bajtů pro payload data. To je důvod, proč existuje přesně 13 kořenových serverů DNS3 původně: 13 doménových jmen a 13 adres IPv4 se pěkně hodí do jednoho paketu UDP.
toto omezení velikosti bylo již dávno rozpoznáno jako problém. V roce 1999 byl navržen prodlužovací mechanismus pro DNS (EDNS) a v průběhu let byl aktualizován a zvětšil velikost až na 4096 bajtů nebo 4 kilobajty., Pokud tedy používáte poměrně aktuální server DNS, šance na jeho přepnutí na TCP by měly být štíhlé(mer).
nicméně, i když EDNS byl asi dlouhou dobu, jeho podpora nebyla tak univerzální, jak by měla být4 . Některá síťová zařízení, například brány firewall, mohou stále vytvářet předpoklady o velikosti paketů DNS. Firewall může upustit nebo odmítnout velký paket DNS a myslet si, že je to útok., Toto chování může způsobil viditelné problémy v minulosti (nebo to udělal, ale nikdo nechápal proč), ale jako DNS údaje nadále zvyšovat ve velikosti, je důležité, že všechna síťová zařízení správně nakonfigurována na podporu velké velikosti DNS paketu. Pokud síťové prostředí plně nepodporuje velké zprávy DNS, může to vést k odmítnutí zprávy DNS síťovým zařízením nebo k částečnému poklesu během fragmentace. Jak to vypadá pro koncového uživatele, je to, že dotazy DNS jsou nezodpovězeny nebo trvají velmi dlouho, což vyvolává dojem, že “ DNS/network je opravdu pomalý.,“
zatímco EDNS je nezbytný pro provoz moderního DNS, schopnost odesílat větší zprávy přispěla k volumetrickým útokům, jako je zesílení a reflexe.
Napsat komentář