Der primäre DNS-Server unserer Organisation ist ein Windows Server 2008, auf dem zwei Forwarder eingerichtet sind. Mir ist auf unserer Firewall aufgefallen, dass dieser Server zusätzlich zu den Standard-UDP-Anfragen auch reguläre TCP-Anfragen an die Forwarder sendet. Ich habe Wireshark auf dem Server ausgeführt und festgestellt, dass die Rate variiert, aber bei etwa 2 Paketen pro Sekunde liegt. Alle Pakete sind nahezu gleich:
<server> <forwarder> TCP 62 55148 > domain [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
Gelegentlich antwortet der Spediteur mit einem Reset:
<forwarder> <server> TCP 60 domain > 55148 [RST, ACK] Seq=1 Ack=0 Win=0 Len=0
Ist das ein normales, erwartetes Verhalten oder sollte ich mir Sorgen machen? Ich sehe nicht, dass unsere anderen DNS-Server dasselbe Verhalten aufweisen. Dies ist unser einziger Windows-Server, der einige DNS-Pakete über TCP sendet.
Antwort1
Wenn Sie sich diese Paketerfassungen etwas genauer ansehen, werden Sie wahrscheinlich feststellen, dass diesen TCP-Anfragen eine verkürzte UDP-Antwort von 512 Bytes folgt. Alternativ könnte dies ein Versuch sein, eine Zonenübertragung durchzuführen, aber die Tatsache, dass Sie sagten, es handele sich um einen Forwarder, macht mich weniger geneigt, dies zu glauben.
Wenn EDNS über UDP nicht funktioniert, führt DNS-Software häufig einen erneuten TCP-Versuch durch, um das vollständige Paket abzurufen. [SYN]gefolgt von [RST, ACK]bedeutet, dass der Remote-Server diesen Port nicht abhört und eine klassische Meldung „Verbindung abgelehnt“ zurückgibt.
Wenn dies tatsächlich der Fall ist, müssen Sie herausfinden, warum der Remote-Server TCP-Sitzungen ablehnt. Die Auswirkungen, wenn der DNS-Server nicht in der Lage ist, die vollständige Antwortnutzlast abzurufen, hängen vollständig davon ab, welche Anwendung sie anfordert und wie diese Daten verwendet werden.