是否可以强迫客户端在DNS查询中使用TCP而不是UDP？

Question

假设我正在管理DNS服务器和客户端之间的防火墙。有没有办法强迫客户端使用TCP而不是UDP，这样我们就可以防止DNS欺骗类型的DDoS攻击？

Answer 1

你应该阅读杰夫·赫斯顿( Geoff )的“DNS协议的一个问题”(这是对这一观点的一项实际调查)，并附有统计数据和所有内容：

如果DNS通过这些基于UDP的反射攻击对Internet表示如此严重的漏洞，那么TCP是否表示潜在的缓解？我们能否现实地考虑从普遍使用ENDS0来支持UDP中的大型DNS响应，而使用限制其UDP响应最大大小的DNS名称服务器，转而使用TCP获得更大的响应？

关于你的问题，我认为文件的要点是：

• 如果您的服务器使用“截断”位集部分UDP响应进行响应，这将迫使客户端尝试TCP。
• 并非所有客户端都能做到这一点；2%的客户端和17%的解析器没有切换到TCP (2013年的...as)。

就我个人而言，我认为你违反了RFC 1123的精神：

DNS解析器和递归服务器必须支持UDP，并且应该支持TCP发送(非区域传输)查询.

我不确定假装UDP仅仅是为了让人们接受TCP计算为支持UDP。话虽如此，RFC和现实之间总是有差距.