efterhånden som flere og flere mennesker anvender nyere funktioner som IPv6, spamundgåelse og DNSSEC, er det mere sandsynligt, at DNS skifter til TCP på grund af den større responsstørrelse.
Hvad sker der, hvis TCP er blokeret?
uanset hvad der er tilfældet, når meddelelsesstørrelsen overstiger 512 bytes, udløser den ‘TC’ – bit (trunkering) i DNS, der skal indstilles, og informerer klienten om, at meddelelseslængden har overskredet den tilladte størrelse. I disse situationer skal klienten videresende over TCP, som ikke har nogen størrelsesgrænse., Hvis DNS-servere og netværksmiljø ikke kan understøtte store UDP-pakker, vil det forårsage videresendelse via TCP; hvis TCP er blokeret, vil det store UDP-svar enten resultere i IP-fragmentering eller blive droppet helt. Slutsymptom til slutklienten er normalt langsom DNS-opløsning eller manglende evne til at løse visse domænenavne overhovedet.
størrelse betyder noget: EDNS
du spekulerer måske på, hvor størrelsesgrænsen på 512 bytes kommer fra. Den 512-byte UDP nyttelast størrelse er en afhængighed af IPv4., IPv4 standard2 specificerer, at hver vært skal være i stand til at samle pakker med 576 bytes eller mindre, fjerne overskrift og andre indstillinger, der efterlader 512 bytes til nyttelastdata. Dette er grunden til, at der netop er 13 DNS root-servere3 oprindeligt: 13 domænenavne og 13 IPv4-adresser passer pænt ind i en enkelt UDP-pakke.
denne størrelsesbegrænsning blev anerkendt for længe siden som et problem. I 1999 blev Forlængelsesmekanisme for DNS (EDNS) foreslået, og den er blevet opdateret gennem årene, hvilket øger størrelsen helt til 4096 byte eller 4 kilobyte., Så hvis du kører en rimelig opdateret DNS-server, skal chancerne for, at den skifter til TCP, være slank(mer).
selvom EDNS har eksisteret i lang tid, har dens støtte ikke været så universel som den burde være4 . Nogle netværksudstyr, såsom fire .alls, kan stadig tage antagelser om DNS-pakkestørrelse. En fire .all kan droppe eller afvise en stor DNS-pakke, tænker det er et angreb., Denne opførsel har muligvis ikke forårsaget synlige problemer i fortiden (eller det gjorde det, men ingen forstod hvorfor), men da DNS-data fortsætter med at stige i størrelse, er det vigtigt, at alt netværksudstyr er konfigureret korrekt til at understøtte store DNS-pakkestørrelser. Hvis netværksmiljøet ikke fuldt ud understøtter store DNS-meddelelser, kan det føre til, at DNS-meddelelsen afvises af netværksudstyr eller delvist tabes under fragmentering. Hvad dette ser ud til slutbrugeren er, at DNS-forespørgsler bliver ubesvarede eller tager meget lang tid, hvilket giver indtryk af, at “DNS/netværk er virkelig langsomt.,”
mens EDNS er nødvendigt for driften af moderne DNS, bidrog evnen til at sende større meddelelser til volumetriske angreb som forstærkning og refleksion.
Skriv et svar