[LACNIC/Seguridad] TCP & DNS

Julio Arruda jarruda en arbor.net
Mie Dic 16 20:06:06 BRST 2009


On Dec 16, 2009, at 4:59 PM, Francisco Arias wrote:

> Mis comentarios abajo.
> 
> 2009/12/16 Fernando Gont <fernando en gont.com.ar>
> 
> Sin embargo, a partir del momento en que uno considera hacer depender
> infraestructura critica como el DNS en un protocolo como TCP, finalmente
> uno debe "hacerse cargo", y enfrentar problemas que hasta el momento
> venia ignorando.
> 
> Sólo para ser claros, DNS siempre ha "dependido" de TCP como transporte. Y los servidores de DNS siempre han debido aceptar peticiones de DNS sobre TCP. La diferencia ahora, es que con DNSSEC, la posibilidad de tener una respuesta que requiera TCP para poder ser entregada "podría ser" mayor dado el tamaño de la misma.
> 
> No obstante, si se soporta EDNS0 en los servidores de DNS y las redes (firewalls) permiten el paso de paquetes de DNS sobre UDP mayores a 512 Bytes, las peticiones que requieran TCP como transporte deben seguir siendo marginales, quizá como hasta ahora.
> 
> Debo agregar que estoy de acuerdo contigo, Fernando en el hecho de que el soporte de TCP en el DNS es un problema que se venía ignorando desde hace mucho.

...
Algunos trucos de la mitigación de DDoS implican el forzar del cliente a cambiar a TCP :-)..





Más información sobre la lista de distribución Seguridad