ponieważ coraz więcej osób przyjmuje nowsze funkcje, takie jak IPv6, unikanie spamu i DNSSEC, DNS jest bardziej prawdopodobne, aby przełączyć się na TCP ze względu na większy rozmiar odpowiedzi.

co się stanie jeśli TCP zostanie zablokowany?

niezależnie od przypadku, gdy rozmiar wiadomości przekracza 512 bajtów, spowoduje to ustawienie bitu' TC ' (okrojenia) W DNS, informując klienta, że długość wiadomości przekroczyła dozwolony rozmiar. W takich sytuacjach klient musi ponownie przesłać przez TCP, który nie ma limitu rozmiaru., Jeśli serwery DNS i środowisko sieciowe nie mogą obsługiwać dużych pakietów UDP, spowoduje to retransmisję przez TCP; jeśli TCP jest zablokowany, duża odpowiedź UDP spowoduje fragmentację IP lub zostanie całkowicie usunięta. Końcowym objawem dla klienta końcowego jest zwykle powolna rozdzielczość DNS lub niemożność rozwiązania niektórych nazw domen w ogóle.

rozmiar ma znaczenie: EDNS

możesz się zastanawiać, skąd pochodzi limit rozmiaru 512 bajtów. 512-bajtowy rozmiar UDP jest zależny od IPv4., Standard Ipv42 określa, że każdy host musi być w stanie ponownie montować pakiety po 576 bajtów lub mniej, odbierać nagłówki i inne opcje, co pozostawia 512 bajtów dla danych ładunku. Jest to powód, dla którego istnieje dokładnie 13 serwerów root DNS: 13 nazw domen i 13 adresów IPv4 ładnie pasują do jednego pakietu UDP.

to ograniczenie rozmiaru zostało uznane dawno temu jako problem. W 1999 roku zaproponowano Mechanizm rozszerzenia dla DNS (EDNS), który był aktualizowany przez lata, zwiększając rozmiar do 4096 bajtów, czyli 4 kilobajtów., Tak więc, jeśli korzystasz z rozsądnie aktualnego serwera DNS, szanse na przejście na TCP powinny być niewielkie (mer).

mimo że EDNS istnieje już od dawna, jego wsparcie nie było tak uniwersalne, jak powinno być4 . Niektóre urządzenia sieciowe, takie jak zapory sieciowe, mogą nadal wprowadzać założenia dotyczące rozmiaru pakietów DNS. Zapora sieciowa może upuścić lub odrzucić duży pakiet DNS, myśląc, że jest to atak., Takie zachowanie może nie powodować widocznych problemów w przeszłości (lub miało, ale nikt nie rozumiał dlaczego), ale ponieważ dane DNS nadal rosną, ważne jest, aby wszystkie urządzenia sieciowe były prawidłowo skonfigurowane do obsługi dużych rozmiarów pakietów DNS. Jeśli środowisko sieciowe nie obsługuje w pełni dużych wiadomości DNS, może to prowadzić do odrzucenia wiadomości DNS przez Sprzęt sieciowy lub częściowego odrzucenia podczas fragmentacji. Dla użytkownika końcowego wygląda to tak, że zapytania DNS pozostają bez odpowiedzi lub zajmują bardzo dużo czasu, co sprawia wrażenie, że „DNS/sieć jest naprawdę powolna.,”

chociaż EDNS jest niezbędny do działania współczesnego DNS, możliwość wysyłania większych wiadomości przyczyniła się do ataków wolumetrycznych, takich jak wzmocnienie i odbicie.