O servidor DNS principal da nossa organização é um Windows Server 2008 configurado por dois encaminhadores. Acontece que notei em nosso firewall que este servidor está enviando solicitações TCP regulares para os encaminhadores, além das consultas UDP padrão. Executei o Wireshark no servidor e percebi que a taxa varia, mas está em torno de 2 pacotes por segundo. Todos os pacotes são quase iguais:
<server> <forwarder> TCP 62 55148 > domain [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
Ocasionalmente, o encaminhador responde com um reset:
<forwarder> <server> TCP 60 domain > 55148 [RST, ACK] Seq=1 Ack=0 Win=0 Len=0
Este comportamento é normal e esperado ou devo me preocupar? Não vejo nossos outros servidores DNS exibindo o mesmo comportamento. Este é o nosso único servidor Windows que envia alguns pacotes DNS via TCP.
Responder1
Se você se aprofundar um pouco mais nessas capturas de pacotes, provavelmente descobrirá que essas solicitações TCP seguem uma resposta UDP truncada de 512 bytes. Alternativamente, isso poderia ser uma tentativa de realizar uma transferência de zona, mas o fato de você ter dito que era um encaminhador me deixa menos inclinado a acreditar nisso.
Na ausência de EDNS sobre UDP funcionando, é comum que o software DNS tente uma nova tentativa de TCP para obter o pacote completo. [SYN]
seguido por [RST, ACK]
implica que o servidor remoto não está escutando naquela porta e retornando uma clássica "conexão recusada".
Se isso é realmente o que está acontecendo, você precisará descobrir por que o servidor remoto está rejeitando sessões TCP. O impacto da incapacidade do servidor DNS de obter a carga de resposta completa dependerá inteiramente de qual aplicativo a está solicitando e de como esses dados são usados.