Som flere og flere mennesker vedta nye funksjoner som IPv6, spam unngåelse, og DNSSEC, DNS er mer sannsynlig å bytte til TCP-på grunn av den større respons størrelse.
Hva Skjer Hvis TCP Er Blokkert?
Uansett, når meldingen størrelse overstiger 512 byte, vil det utløse ‘TC’ bit (Trunkering) i DNS for å bli sett, for å informere klienten om at meldingen lengde har overskredet tillatt størrelse. I disse situasjonene er det kunden trenger å re-sender over TCP, som ikke har noen grense., Hvis DNS-servere og nettverk ikke støtter store UDP-pakker, vil det føre til videresending via TCP; hvis TCP er blokkert, store UDP svar vil enten resultere i IP-fragmentering eller droppes helt. Slutten symptom til slutten klienten er vanligvis langsom DNS-oppløsningen, eller manglende evne til å løse visse domenenavn i det hele tatt.
Size Matters: EDNS
Du kanskje lurer på hvor filstørrelse grense på 512 byte kommer fra. 512-byte UDP nyttelast størrelse er en avhengighet på IPv4., IPv4-standard2 angir at hver vert må være i stand til å håndtere pakker på 576 byte eller mindre, ta bort header og andre alternativer, som lar 512 byte for nyttelast data. Dette er grunnen til at det er nøyaktig 13 DNS rot servers3 opprinnelig: 13 domenenavn og 13 IPv4-adresser passe fint inn i et enkelt UDP-pakke.
Denne størrelsesbegrensningen ble anerkjent for lenge siden, som et problem. I 1999, Extension Mekanisme for DNS (EDNS) ble foreslått, og det har blitt oppdatert i løpet av årene, øker størrelsen hele veien til 4096 byte eller 4 kilobyte., Så, hvis du kjører en rimelig oppdatert DNS-server, sjansene for at den bytter til TCP bør være slank(mer).
Imidlertid, selv om EDNS har vært rundt lenge, sin støtte ikke har vært så universell som det skal be4 . Noen nettverk utstyr, for eksempel brannmurer, kan fortsatt gjøre antagelser om DNS-pakkestørrelsen. En brannmur kan falle på eller avvise et stort DNS-pakke, tenker det er et angrep., Dette problemet kan ikke ha forårsaket synlige problemer i det siste (eller det gjorde det, men ingen forsto hvorfor), men som DNS data fortsetter å øke i størrelse, det er viktig at alle nettverksenheter er konfigurert til å støtte store DNS-pakke størrelser. Hvis nettverket ikke støtter fullt ut store DNS-meldinger, kan det føre til DNS-meldingen bli avvist av nettverk utstyr, eller delvis er falt i løpet av fragmentering. Hva dette ser ut til sluttbruker, er at DNS-spørringer som skal ubesvart, eller ta svært lang tid, noe som gir inntrykk av at «DNS/nettverket er veldig treg.,»
Mens EDNS er nødvendig for drift av moderne DNS, muligheten til å sende store meldinger bidratt til volumetrisk angrep, for eksempel Forsterkning og Refleksjon.
Legg igjen en kommentar