naarmate meer en meer mensen gebruik maken van nieuwere functies zoals IPv6, spamvermijding en DNSSEC, is de kans groter dat DNS overschakelt naar TCP vanwege de grotere respons.
Wat gebeurt er als TCP is geblokkeerd?
ongeacht het geval, wanneer de berichtgrootte groter is dan 512 bytes, zal het de ‘TC’ – Bit (afkappen) in DNS activeren die moet worden ingesteld, waarbij de client wordt geïnformeerd dat de berichtlengte de toegestane grootte heeft overschreden. In deze situaties moet de client opnieuw verzenden via TCP, dat geen limiet heeft., Als DNS-servers en netwerkomgeving geen grote UDP-pakketten kunnen ondersteunen, zal dit leiden tot doorgifte via TCP; als TCP is geblokkeerd, zal de grote UDP-respons ofwel leiden tot IP-fragmentatie of volledig worden verwijderd. Het eindsymptoom voor de eindclient is meestal een trage DNS-resolutie of het onvermogen om bepaalde domeinnamen op te lossen.
Size Matters: EDNS
u vraagt zich misschien af waar de limiet van 512 bytes vandaan komt. De 512-byte UDP payload grootte is afhankelijk van IPv4., De IPv4-standaard2 specificeert dat elke host pakketten van 576 bytes of minder moet kunnen samenvoegen, header en andere opties moet kunnen verwijderen, waardoor er 512 bytes overblijven voor payloadgegevens. Dit is de reden waarom er oorspronkelijk 13 DNS root-servers3 zijn: 13 domeinnamen en 13 IPv4-adressen passen mooi in één UDP-pakket.
deze groottebeperking werd lang geleden herkend als een probleem. In 1999, Uitbreiding mechanisme voor DNS (EDNS) werd voorgesteld, en het is bijgewerkt door de jaren heen, waardoor de grootte helemaal tot 4096 bytes, of 4 kilobytes., Dus, als u een redelijk up-to-date DNS-server, de kans dat het overschakelen naar TCP moet slim zijn (mer).
echter, hoewel EDNS al een lange tijd bestaat, is de ondersteuning ervan niet zo universeel als het zou moeten zijn4 . Sommige netwerkapparatuur, zoals firewalls, kunnen nog steeds veronderstellingen maken over de DNS-pakketgrootte. Een firewall kan een groot DNS-pakket laten vallen of afwijzen, denkend dat het een aanval is., Dit gedrag heeft in het verleden misschien geen zichtbare problemen veroorzaakt (of wel, maar niemand begreep waarom), maar aangezien DNS-gegevens steeds groter worden, is het belangrijk dat alle netwerkapparatuur correct is geconfigureerd om grote DNS-pakketgroottes te ondersteunen. Als de netwerkomgeving geen volledige ondersteuning biedt voor grote DNS-berichten, kan dit ertoe leiden dat het DNS-bericht wordt geweigerd door network gear of gedeeltelijk wordt verwijderd tijdens fragmentatie. Hoe dit eruit ziet voor de eindgebruiker is dat DNS-query ‘ s onbeantwoord blijven, of een zeer lange tijd duren, waardoor de indruk wordt gewekt dat “DNS/netwerk is echt traag.,”
hoewel EDNS noodzakelijk is voor de werking van moderne DNS, heeft de mogelijkheid om grotere berichten te verzenden bijgedragen aan volumetrische aanvallen zoals versterking en reflectie.
Geef een reactie