El servidor DNS principal de nuestra organización es un Windows Server 2008 configurado por dos reenviadores. Me di cuenta en nuestro firewall de que este servidor envía solicitudes TCP regulares a los reenviadores además de las consultas UDP estándar. Ejecuté Wireshark en el servidor y noté que la velocidad varía, pero ronda los 2 paquetes por segundo. Todos los paquetes son casi iguales:
<server> <forwarder> TCP 62 55148 > domain [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
De vez en cuando el reenviador responde con un reinicio:
<forwarder> <server> TCP 60 domain > 55148 [RST, ACK] Seq=1 Ack=0 Win=0 Len=0
¿Es este comportamiento normal y esperado o debería preocuparme? No veo que nuestros otros servidores DNS muestren este mismo comportamiento. Este es nuestro único servidor de Windows que envía algunos paquetes DNS a través de TCP.
Respuesta1
Si profundiza un poco más en esas capturas de paquetes, probablemente encontrará que estas solicitudes TCP siguen una respuesta UDP truncada de 512 bytes. Alternativamente, esto podría ser un intento de realizar una transferencia de zona, pero el hecho de que usted haya dicho que fue un reenviador me hace menos inclinado a creerlo.
En ausencia de EDNS sobre UDP que funcione, es común que el software DNS intente un reintento TCP para obtener el paquete completo. [SYN]
seguido de [RST, ACK]
implica que el servidor remoto no está escuchando en ese puerto y devuelve una clásica "conexión rechazada".
Si eso es realmente lo que está sucediendo, deberá averiguar por qué el servidor remoto rechaza las sesiones TCP. El impacto de que el servidor DNS no pueda obtener la carga útil de respuesta completa dependerá completamente de qué aplicación la solicite y cómo se utilicen esos datos.