점점 더 많은 사람들이 IPv6,스팸 회피 및 DNSSEC 과 같은 최신 기능을 채택함에 따라 DNS 는 더 큰 응답 크기로 인해 TCP 로 전환 할 가능성이 높습니다.
TCP 가 차단되면 어떻게됩니까?
어떤 경우,메시지 크기를 초과 512bytes 것입니다’TC’bit(잘라내기)DNS 에서 설정할 수 있음을 알리는 클라이언트 메시지는 길이를 초과했을 허용 크기입니다. 이러한 상황에서 클라이언트는 크기 제한이없는 TCP 를 통해 다시 전송해야합니다., 면 DNS 서버 및 네트워크 환경을 지원할 수 없습니다 큰 UDP 패킷을 일으킬 것 재전송 TCP;는 경우 TCP 차단되어 큰 UDP 응답이 결과에 IP 조각 또는 삭제됩니다. 최종 클라이언트에 대한 최종 증상은 일반적으로 DNS 확인 속도가 느리거나 특정 도메인 이름을 전혀 해결할 수 없다는 것입니다.
크기 문제:EDNS
512 바이트의 크기 제한이 어디에서 왔는지 궁금 할 것입니다. 512 바이트 UDP 페이로드 크기는 IPv4 에 대한 종속성입니다., IPv4standard2 지정하는 모든 호스트할 수 있어야 합를 조립하는 패킷의 576 바이트 또는 적고,헤더 및 기타 옵션,잎 512bytes 페이로드를 위해 데이터입니다. 이것은 정확하게 13 개의 DNS 루트 서버가있는 이유입니다.3 원래:13 개의 도메인 이름과 13 개의 IPv4 주소가 단일 UDP 패킷에 잘 맞습니다.
이 크기 제한은 오래 전에 문제로 인식되었습니다. 1999 년에 DNS(EDNS)에 대한 확장 메커니즘이 제안되었으며 수년에 걸쳐 업데이트되어 4096 바이트 또는 4 킬로바이트로 크기를 늘립니다., 따라서 합리적으로 최신 DNS 서버를 실행하는 경우 TCP 로 전환 할 가능성은 희박해야합니다(mer).
그러나 EDNS 가 오랫동안 주변에 있었음에도 불구하고 그 지원은 4 만큼 보편적이지 않았습니다. 방화벽과 같은 일부 네트워크 장비는 여전히 DNS 패킷 크기에 대한 가정을 할 수 있습니다. 방화벽은 공격이라고 생각하면서 큰 DNS 패킷을 삭제하거나 거부 할 수 있습니다., 이 동작하지 않을 수 있습해 보이는 과거에 문제가가는(혹은 않았지만 아무 이유를 이해할 수),하지만 DNS 데이터를 계속 증가에서 크기,그것은 중요하는 모든 네트워크 장비를 지원하도록 올바르게 구성되어 큰 DNS 패킷 크기입니다. 네트워크 환경이 큰 DNS 메시지를 완전히 지원하지 않으면 DNS 메시지가 network gear 에 의해 거부되거나 조각화 중에 부분적으로 삭제될 수 있습니다. 이처럼 보이는 끝까지 사용자는 DNS 쿼리에는 답이없는,또는 매우 오랜 시간이 걸릴,인상을 주는”DNS/네트워크를 정말로 느립니다.,”
EDNS 는 현대의 DNS 운영에 필요하지만 더 큰 메시지를 보낼 수있는 능력은 증폭 및 반사와 같은 체적 공격에 기여했습니다.피>
답글 남기기