pe măsură ce tot mai mulți oameni adoptă funcții mai noi, cum ar fi IPv6, evitarea spamului și DNSSEC, DNS este mai probabil să treacă la TCP datorită dimensiunii mai mari a răspunsului.
ce se întâmplă dacă TCP este blocat?
indiferent de caz, atunci când dimensiunea mesajului depășește 512 octeți, acesta va declanșa bitul ” TC ” (trunchiere) în DNS care urmează să fie setat, informând clientul că lungimea mesajului a depășit dimensiunea permisă. În aceste situații, Clientul trebuie să retransmită peste TCP, care nu are limită de dimensiune., Dacă serverele DNS și mediul de rețea nu pot suporta pachete mari UDP, aceasta va provoca retransmiterea prin TCP; dacă TCP este blocat, răspunsul UDP mare va duce fie la fragmentarea IP, fie va fi abandonat complet. Simptomul final al clientului final este, de obicei, rezoluția DNS lentă sau incapacitatea de a rezolva anumite nume de domeniu.
dimensiunea contează: EDNS
s-ar putea să vă întrebați de unde provin limita de dimensiune a octeților 512. Dimensiunea sarcinii UDP de 512 octeți este o dependență de IPv4., Standardul Ipv42 specifică faptul că fiecare gazdă trebuie să poată reasambla pachete de 576 octeți sau mai puțin, să ia antet și alte opțiuni, care lasă 512 octeți pentru datele de sarcină utilă. Acesta este motivul pentru care există exact 13 servere rădăcină DNS 3 inițial: 13 nume de domeniu și 13 adrese IPv4 se potrivesc frumos într-un singur pachet UDP.această limitare a dimensiunii a fost recunoscută cu mult timp în urmă ca o problemă. În 1999, a fost propus mecanismul de extensie pentru DNS (EDNS) și a fost actualizat de-a lungul anilor, mărind dimensiunea până la 4096 octeți sau 4 kilobiți., Deci, dacă rulați un server DNS rezonabil actualizat, șansele de a trece la TCP ar trebui să fie subțiri(mer).cu toate acestea, chiar dacă EDNS a fost în jur de mult timp, sprijinul său nu a fost atât de universal pe cât ar trebui să fie4 . Unele echipamente de rețea, cum ar fi firewall-urile, ar putea face în continuare presupuneri cu privire la dimensiunea pachetelor DNS. Un firewall poate renunța sau respinge un pachet DNS mare, crezând că este un atac., Acest comportament nu poate fi cauzat probleme vizibile în trecut (sau a făcut-o, dar nimeni nu a înțeles de ce), dar ca DNS de date continuă să crească în dimensiune, este important ca toate echipamentele de rețea este configurat corect pentru a sprijini mari DNS packet dimensiuni. Dacă mediul de rețea nu acceptă pe deplin mesajele DNS mari, poate duce la respingerea mesajului DNS de către uneltele de rețea sau la scăderea parțială în timpul fragmentării. Cum arată acest lucru pentru utilizatorul final este că interogările DNS nu au răspuns sau durează foarte mult timp, dând impresia că „DNS/rețeaua este într-adevăr lentă.,în timp ce EDNS este necesar pentru funcționarea DNS-ului modern, capacitatea de a trimite mesaje mai mari a contribuit la atacuri volumetrice, cum ar fi amplificarea și reflecția.
Lasă un răspuns