Реальная проблема гипотетически может возникнуть в старых раутерах и фаерволах с какими-нибудь параноидальными правилами. То есть увидев DNS-ответ размером больше 512, он его просто дропнет как ошибочный или зловредный. Как пример, OpenWRT раньше дропала пакет, если во входящем SYN-е не указан MSS, потому что когда-то много лет назад такими пакетами кто-то кого-то досил. И все было нормально, пока не попытался к ней подключиться по ssh из Windows 7, которая как раз не указывает MSS и ошибкой это не является. В чем было дело разбирался несколько часов. Правило если не ошибаюсь было вот такое: iptables -A INPUT -p tcp --tcp-flags SYN SYN --tcp-option \! 2 -j DROPЯ к тому, что никто не гарантирует, что где-то не используются правила, запрещающие большие DNS-ответы. Об этом нам и говорят в новости. А паника это от как обычно от непонимания. =)
|