mivel egyre több ember fogad el újabb funkciókat, mint például az IPv6, a spamelkerülés, valamint a DNSSEC, a DNS nagyobb valószínűséggel vált át TCP-re a nagyobb válaszméret miatt.
mi történik, ha a TCP le van tiltva?
bármi legyen is a helyzet, ha az üzenet mérete meghaladja az 512 bájtot, akkor a DNS-ben a ” TC ” bitet (csonkolás) állítja be, tájékoztatva az ügyfelet arról, hogy az üzenet hossza meghaladta a megengedett méretet. Ilyen helyzetekben az ügyfélnek újra kell továbbítania a TCP-t, amelynek nincs méretkorlátja., Ha a DNS szerverek a hálózati környezet nem támogatja a nagy UDP csomagokat fog okozni megismételt TCP; ha a TCP van tiltva, a nagy UDP válasz vagy eredmény az IP-töredezettség, vagy csökkent teljesen. A végső tünet a végső kliens általában lassú DNS felbontás, vagy képtelen megoldani bizonyos domain nevek egyáltalán.
A méret számít: EDNS
lehet, hogy kíváncsi, honnan származik az 512 bájt méretkorlátja. Az 512 bájtos UDP hasznos teher mérete függ az IPv4-től., Az IPv4 szabvány2 meghatározza, hogy minden gazdagépnek képesnek kell lennie 576 bájt vagy annál kisebb csomagok összeszerelésére, fejlécek és egyéb opciók eltávolítására, ami 512 bájtot hagy a hasznos adatok számára. Ez az oka annak, hogy eredetileg pontosan 13 DNS root servers3 létezik: 13 domain név és 13 IPv4 cím szépen illeszkedik egyetlen UDP csomagba.
ezt a méretkorlátozást már régen problémának tekintették. 1999-ben javasolták a DNS (EDNS) kiterjesztési mechanizmusát, amelyet az évek során frissítettek, növelve a méretet egészen 4096 bájtig vagy 4 kilobájtig., Tehát, ha egy ésszerűen naprakész DNS-kiszolgálót futtat, akkor annak esélye, hogy TCP-re vált, vékony(mer) legyen.
annak ellenére, hogy az EDNS már régóta létezik, támogatása nem volt olyan univerzális, mint amilyennek kellene lennie4 . Néhány hálózati berendezés, például tűzfalak, továbbra is feltételezéseket tehet a DNS-csomag méretéről. A tűzfal eldobhat vagy elutasíthat egy nagy DNS-csomagot, azt gondolva, hogy támadás., Ez a viselkedés nem okozott látható problémákat a múltban (vagy nem, de senki sem értette, miért), de mivel a DNS-adatok továbbra is növekednek a méretben, fontos, hogy az összes hálózati berendezés megfelelően legyen konfigurálva a nagy DNS-csomagméretek támogatására. Ha a hálózati környezet nem támogatja teljes mértékben a nagy DNS-üzeneteket, akkor a DNS-üzenetet a hálózati eszközök elutasíthatják, vagy részben leeshetnek a töredezettség során. Ez úgy néz ki, mint a végfelhasználó számára, hogy a DNS-lekérdezések megválaszolatlanul mennek, vagy nagyon sokáig tartanak, azt a benyomást keltve, hogy “a DNS/hálózat nagyon lassú.,”
míg az EDNS a mai DNS működéséhez szükséges, a nagyobb üzenetek küldésének képessége hozzájárult a volumetrikus támadásokhoz, például az erősítéshez és a visszaverődéshez.
Vélemény, hozzászólás?