| 1.2, Аноним (-), 07:54, 01/05/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>DNSSEC добавляет к каждому ответу DNS серверов цифровую подпись, которая >удостоверяет то, что ответ получен от оригинального DNS сервера, которому вы >доверяете.
так это резолвер на клиентене должен проверять или как?
| | |
| 1.3, PavelR (??), 08:36, 01/05/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
>а расширение DNSSEC увеличивает размер пакета с ответом до 2048 байт, что
>может привести к тому, что неправильно настроенное сетевое оборудование будет
>отбрасывать столь большие пакеты.
Не, ну это полный бред. Максимальный размер кадра Ethernet - 1500 байт, а тут "пакет с ответом - 2048".
| | |
| |
| 2.4, Анон (?), 08:42, 01/05/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>а расширение DNSSEC увеличивает размер пакета с ответом до 2048 байт, что
>>может привести к тому, что неправильно настроенное сетевое оборудование будет
>>отбрасывать столь большие пакеты.
>
>Не, ну это полный бред. Максимальный размер кадра Ethernet - 1500 байт,
>а тут "пакет с ответом - 2048".
Так ты определись про что именно говришь: про Ethernet-кадр или UDP-пакет?
К.О. сообщает: Ethernet просто физический транспорт, DNSSEC чихать хотел по чему он передается физически
| | |
| |
| 3.7, ws (ok), 09:38, 01/05/2010 [^] [^^] [^^^] [ответить]
| +4 +/– |
Он хотел сказать, имхо, что теория не должна сильно отрываться от практики...
Если хоим что-бы днс-ответы были быстрыми, то желательно не вылазить за размер одного кадра эзернет...
| | |
| |
| 4.8, аноним (?), 10:11, 01/05/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
>Он хотел сказать, имхо, что теория не должна сильно отрываться от практики...
>
>Если хоим что-бы днс-ответы были быстрыми, то желательно не вылазить за размер
>одного кадра эзернет...
Во-первых это ерунда, во-вторых скоро ipv6.
| | |
| 4.15, azure (ok), 22:56, 02/05/2010 [^] [^^] [^^^] [ответить]
| +/– | |
Сколько надо - столько и должно передаваться. С другой стороны - я не вижу необходимости в днссек. Это все слишком усложняет, имхо.
кстати на оптических магистралях MTU вообще другой. Эзернет это последняя миля как правило.
| | |
| |
| 5.20, XoRe (ok), 15:15, 04/05/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Сколько надо - столько и должно передаваться. С другой стороны - я
>не вижу необходимости в днссек. Это все слишком усложняет, имхо.
Конечно усложняет.
ssl шифрование тоже много чего усложняет.
Вашей кредиткой кто-то другой никогда "внезапно" не оплачивал iphone?
>кстати на оптических магистралях MTU вообще другой.
Вы про jumbo frames?)
| | |
|
|
| 3.9, PavelR (??), 11:03, 01/05/2010 [^] [^^] [^^^] [ответить]
| +/– | |
DNSSEC-у то конечно чихать :-) Ровно как и промежуточным рутерам, к чему это приводит - я думаю все в курсе.
Пакет он пакет есть и пакетом и будет. Не путайте пакет и сообщение. Пакет от этого размером 2048 байт не станет (ну, точнее не должен бы стать, иначе фиг где пролезет).
Или кто-то где-то надеется, что рутера махом возьмут и начнут делать фрагментацию/пересборку(reassembly) дейтаграмм ?
| | |
| |
| 4.11, минона (?), 14:11, 01/05/2010 [^] [^^] [^^^] [ответить]
| +/– |
2-а (подряд) ответа от корбины:
>$ dig +bufsize=1024 rs.dns-oarc.net txt
; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt
;; global options: +cmd
;; connection timed out; no servers could be reached
>$ dig +bufsize=1024 rs.dns-oarc.net txt
; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51861
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;rs.dns-oarc.net. IN TXT
;; ANSWER SECTION:
rs.dns-oarc.net. 32 IN CNAME rst.x476.rs.dns-oarc.net.
rst.x476.rs.dns-oarc.net. 31 IN CNAME rst.x485.x476.rs.dns-oarc.net.
rst.x485.x476.rs.dns-oarc.net. 30 IN CNAME rst.x490.x485.x476.rs.dns-oarc.net.
rst.x490.x485.x476.rs.dns-oarc.net. 30 IN TXT "213.234.192.12 lacks EDNS, defaults to 512"
rst.x490.x485.x476.rs.dns-oarc.net. 30 IN TXT "Tested at 2010-05-01 10:08:00 UTC"
rst.x490.x485.x476.rs.dns-oarc.net. 30 IN TXT "213.234.192.12 DNS reply size limit is at least 490"
;; Query time: 15 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Sat May 1 14:08:28 2010
;; MSG SIZE rcvd: 267
| | |
| |
| 5.13, Unixoid_потому_что_кривые_руки_писали_этот_модуль (ok), 21:08, 02/05/2010 [^] [^^] [^^^] [ответить]
| +/– |
 $ dig +bufsize=1024 rs.dns-oarc.net txt
; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6601
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;rs.dns-oarc.net. IN TXT
;; ANSWER SECTION:
rs.dns-oarc.net. 60 IN CNAME rst.x1002.rs.dns-oarc.net.
rst.x1002.rs.dns-oarc.net. 59 IN CNAME rst.x1957.x1002.rs.dns-oarc.net.
rst.x1957.x1002.rs.dns-oarc.net. 58 IN CNAME rst.x2443.x1957.x1002.rs.dns-oarc.net.
rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 DNS reply size limit is at least 2443"
rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 sent EDNS buffer size 4096"
rst.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN TXT "Tested at 2010-05-02 17:04:57 UTC"
;; AUTHORITY SECTION:
x2443.x1957.x1002.rs.dns-oarc.net. 57 IN NS ns00.x2443.x1957.x1002.rs.dns-oarc.net.
;; ADDITIONAL SECTION:
ns00.x2443.x1957.x1002.rs.dns-oarc.net. 57 IN A 149.20.58.136
;; Query time: 4482 msec
;; SERVER: 192.168.0.6#53(192.168.0.6)
;; WHEN: Sun May 2 23:04:57 2010
;; MSG SIZE rcvd: 312
| | |
| |
| 6.14, Unixoid_потому_что_кривые_руки_писали_этот_модуль (ok), 21:09, 02/05/2010 [^] [^^] [^^^] [ответить]
| +/– | |
$ dig +bufsize=1024 rs.dns-oarc.net txt
; <<>> DiG 9.7.0-P1 <<>> +bufsize=1024 rs.dns-oarc.net txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34024
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;rs.dns-oarc.net. IN TXT
;; ANSWER SECTION:
rs.dns-oarc.net. 60 IN CNAME rst.x2027.rs.dns-oarc.net.
rst.x2027.rs.dns-oarc.net. 59 IN CNAME rst.x3837.x2027.rs.dns-oarc.net.
rst.x3837.x2027.rs.dns-oarc.net. 58 IN CNAME rst.x3843.x3837.x2027.rs.dns-oarc.net.
rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 DNS reply size limit is at least 3843"
rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "91.144.138.3 sent EDNS buffer size 4096"
rst.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN TXT "Tested at 2010-05-02 17:08:55 UTC"
;; AUTHORITY SECTION:
x3843.x3837.x2027.rs.dns-oarc.net. 57 IN NS ns00.x3843.x3837.x2027.rs.dns-oarc.net.
;; ADDITIONAL SECTION:
ns00.x3843.x3837.x2027.rs.dns-oarc.net. 57 IN A 149.20.58.136
;; Query time: 2376 msec
;; SERVER: 192.168.0.6#53(192.168.0.6)
;; WHEN: Sun May 2 23:08:55 2010
;; MSG SIZE rcvd: 312
| | |
|
|
|
|
| 2.19, Анон (?), 08:03, 04/05/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
не пролезет по мту - разрежут, пронумеруют, отправят. на той стороне соберут и обработают. учите матчасть. ну пожалуйста.
| | |
|
| 1.10, terminus (ok), 12:53, 01/05/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Я не понимаю откуда эта паника по поводу размеров ответов? DNS сервер будет давать ответы с сигнатурами внутри только тогда, когда в запросе на разрешение был установлен флаг DO. Таким образом старые кеш серверы без поддержки DNSSEC все так же будут получать ответы малого размера без сигнатур. От того, что "завтра" введут DNSSEC на корне, ничего нигде не изменится.
| | |
| |
| 2.12, filosofem (ok), 15:48, 01/05/2010 [^] [^^] [^^^] [ответить]
| +3 +/– |
Реальная проблема гипотетически может возникнуть в старых раутерах и фаерволах с какими-нибудь параноидальными правилами. То есть увидев DNS-ответ размером больше 512, он его просто дропнет как ошибочный или зловредный.
Как пример, OpenWRT раньше дропала пакет, если во входящем SYN-е не указан MSS, потому что когда-то много лет назад такими пакетами кто-то кого-то досил. И все было нормально, пока не попытался к ней подключиться по ssh из Windows 7, которая как раз не указывает MSS и ошибкой это не является.
В чем было дело разбирался несколько часов. Правило если не ошибаюсь было вот такое:
iptables -A INPUT -p tcp --tcp-flags SYN SYN --tcp-option \! 2 -j DROP
Я к тому, что никто не гарантирует, что где-то не используются правила, запрещающие большие DNS-ответы. Об этом нам и говорят в новости.
А паника это от как обычно от непонимания. =)
| | |
| |
| 3.16, Аноним (-), 12:46, 03/05/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
>Реальная проблема гипотетически может возникнуть в старых раутерах и фаерволах с какими-нибудь
>параноидальными правилами. То есть увидев DNS-ответ размером больше 512, он его
>просто дропнет как ошибочный или зловредный.
>Таким образом старые кеш серверы без поддержки DNSSEC все так же будут получать ответы малого размера без сигнатур.
КАК он его увидит ?
| | |
| |
| 4.17, filosofem (ok), 16:43, 03/05/2010 [^] [^^] [^^^] [ответить]
| +/– |
Кто кого увидит? Определись, что узнать хочешь, или научись вопросы задавать.
Если про DNS-ответ, его могут определять по номеру порта источника для примера.
| | |
|
|
|
| 1.21, XoRe (ok), 15:23, 04/05/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вообще это можно и нужно, в первую очередь, провайдерам.
Так как обычно клиентам прописываются DNS серверы провайдера.
И "отравление" кэша DNS серверов у провайдера приведет к проблемам у клиента.
Учитывая сложность перевода на DNSSEC вообще всех (особенно роутеры и винды), DNS общение между клиентом и провайдером можно попробовать оставить по старинке, plain-text'ом)
| | |
|
