DNS国旗日: edns512tcp=reset错误需要什么操作？

Question

使用https://dnsflagday.net上的域测试报告，我们的域(托管在几个不同的DNS公司)都失败了(注意edns512tcp=reset)：

xxxxxxxxx.com. @98.124.243.3 (dns5.name-services.com.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns512tcp=reset optlist=ok,nsid (pdns12.dns.sjl.prod.tucows.net)

The Following Tests Failed

    EDNS - over TCP Response (edns@512tcp)

    dig +vc +nocookie +norec +noad +edns +dnssec +bufsize=512 dnskey zone @server
    expect: NOERROR
    expect: OPT record with version set to 0
    See RFC5966 and See RFC6891

Codes

    ok - test passed.
    nsid - NSID supported [RFC5001].
    reset - TCP connection reset.

但该网站并没有解释任何行动，而网络搜索也没有让这一点变得更清楚。

它似乎在说它不希望reset？dig用以下内容显示域所有的回复，这是必需的：

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1452

什么是DNS标志日测试人员试图告诉我是错误的？我能做些什么来修复它吗?还是我们权威的DNS主机出了问题？

Answer 1

您没有指定您的域名，但是使用您引用的输出中指定的命令，我得到了与他们抱怨的相同的“连接重置”行为：

$ dig +vc +nocookie +norec +noad +edns +dnssec +bufsize=512 dnskey example.com @98.124.243.3
;; communications error to 98.124.243.3#53: connection reset
$

正如您的ednscomp测试输出中所指出的，在这个特定的测试中所期望的是：

expect: NOERROR
expect: OPT record with version set to 0

Ie，它需要一个具有NOERROR状态的响应和一个带有版本0的EDNS OPT伪记录。

报告的问题是，无论出于什么原因，您的名称服务器都会重置连接，而不是处理查询。

值得注意的是，ednscomp测试套件包括许多测试，您在输出中详细发现的是失败的测试。例如，上面的dig命令本身并不是一个全面的测试，它只是对应于名称服务器失败的特定测试场景。