Γενική ερώτηση για DNS servers και TCP support

[Christos Ricudis]

On 10/11/2012 02:32 μμ, George Notaras wrote:
> Από ό,τι διάβασα, support για TCP connections σε ένα dns service
> χρειάζεται μόνο όταν τα data της απάντησης (ή ίσως και της ερώτησης)
> είναι περισσότερα από 512 bytes.
>
> Αν δεν χρησιμοποιούνται:
> * AXFR queries (ούτε για zone transfers μεταξύ matser-slaves)
> * οτιδήποτε έχει να κάνει με DNSSEC
> * DNS UPDATE messages
>
> Τότε υπάρχει άλλος λόγος να είναι ενεργοποιημένο το TCP support;

Ναι. Οτι δεν ξερεις ποτε μπορει να χρειαστει να κανει fallback σε TCP 
(δεν ειναι ειναι μονο αυτες οι περιπτωσεις που αναφερεις).

>
> Στα docs μιας άλλης εφαρμογής[1] διάβασα ότι το tcp support κάνει το DNS
> service λίγο πιο αργό και επιρρεπές σε dos attacks.

Δεν το κανει πιο αργο στην γενικη περιπτωση - απλα για μικρα 
transactions, το TCP ειναι πιο αργο οταν εχεις να κανεις establishment - 
data transfer - teardown (το establishment κοστιζει 3 roundtrips χρονο, 
και το teardown αλλα 2).

Επιρρεπες σε DOS attacks: Απλα και μονο επειδη το TCP ειναι αναγκασμενο 
να κραταει connection state, αλλα αυτο δεν αφορα ειδικα το DNS, αφορα τα 
παντα.

Γνωμη μου: Αστο ησυχο να κανει το fallback του οπως ειναι σχεδιασμενο να 
κανει.