Da immer mehr Menschen neuere Funktionen wie IPv6, Spam-Vermeidung und DNSSEC verwenden, wechselt DNS aufgrund der größeren Antwortgröße eher zu TCP.
Was passiert, wenn TCP blockiert wird?
Was auch immer der Fall ist, wenn die Nachrichtengröße 512 Byte überschreitet, wird das zu setzende ‚TC‘ – Bit (Abschneiden) in DNS ausgelöst und der Client darüber informiert, dass die Nachrichtenlänge die zulässige Größe überschritten hat. In diesen Situationen muss der Client erneut über TCP übertragen, was keine Größenbeschränkung hat., Wenn DNS-Server und Netzwerkumgebung große UDP-Pakete nicht unterstützen können, führt dies zu einer erneuten Übertragung über TCP; Wenn TCP blockiert ist, führt die große UDP-Antwort entweder zu einer IP-Fragmentierung oder wird vollständig gelöscht. Das Endsymptom für den Endclient ist normalerweise eine langsame DNS-Auflösung oder die Unfähigkeit, bestimmte Domänennamen überhaupt aufzulösen.
Größe ist wichtig: EDNS
Sie fragen sich vielleicht, woher die Größenbeschränkung von 512 Bytes kommt. Die 512-Byte-UDP-Nutzlastgröße ist eine Abhängigkeit von IPv4., Der IPv4-Standard2 gibt an, dass jeder Host in der Lage sein muss, Pakete mit 576 Byte oder weniger wieder zusammenzusetzen, Header und andere Optionen wegzunehmen, sodass 512 Byte für Nutzdaten übrig bleiben. Dies ist der Grund, warum es genau 13 DNS-Root-Server gibt3 ursprünglich: 13 Domain-Namen und 13 IPv4-Adressen passen gut in ein einziges UDP-Paket.
Diese Größenbeschränkung wurde längst als Problem erkannt. 1999 wurde ein Erweiterungsmechanismus für DNS (EDNS) vorgeschlagen, der im Laufe der Jahre aktualisiert wurde und die Größe auf 4096 Byte oder 4 Kilobyte erhöht., Wenn Sie also einen einigermaßen aktuellen DNS-Server ausführen, sollten die Chancen, dass er zu TCP wechselt, gering sein(mer).
Obwohl es EDNS schon lange gibt, war seine Unterstützung nicht so universell wie es sein soll4 . Einige Netzwerkgeräte wie Firewalls können immer noch Annahmen über die DNS-Paketgröße treffen. Eine Firewall kann ein großes DNS-Paket löschen oder ablehnen und denkt, es sei ein Angriff., Dieses Verhalten hat in der Vergangenheit möglicherweise keine sichtbaren Probleme verursacht (oder es hat aber niemand verstanden warum), aber da die Größe der DNS-Daten weiter zunimmt, ist es wichtig, dass alle Netzwerkgeräte korrekt konfiguriert sind, um große DNS-Paketgrößen zu unterstützen. Wenn die Netzwerkumgebung große DNS-Nachrichten nicht vollständig unterstützt, kann dies dazu führen, dass die DNS-Nachricht von Network Gear abgelehnt oder während der Fragmentierung teilweise gelöscht wird. Wie dies für den Endbenutzer aussieht, ist, dass DNS-Abfragen unbeantwortet bleiben oder sehr lange dauern, was den Eindruck erweckt, dass “ DNS/Netzwerk wirklich langsam ist.,“
Während EDNS für den Betrieb des modernen DNS notwendig ist, trug die Fähigkeit, größere Nachrichten zu senden, zu volumetrischen Angriffen wie Verstärkung und Reflexion bei.
Schreibe einen Kommentar