我們組織的主要 DNS 伺服器是 Windows Server 2008,其中設定了兩個轉發器。我碰巧在我們的防火牆上註意到,除了標準 UDP 查詢之外,該伺服器還向轉發器發送定期 TCP 請求。我在伺服器上運行 Wireshark,發現速率有所不同,但約為每秒 2 個資料包。所有數據包幾乎相同:
<server> <forwarder> TCP 62 55148 > domain [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
有時轉發器會透過重設進行回應:
<forwarder> <server> TCP 60 domain > 55148 [RST, ACK] Seq=1 Ack=0 Win=0 Len=0
這是正常的預期行為還是我應該擔心?我沒有看到我們的其他 DNS 伺服器表現出相同的行為。這是我們唯一透過 TCP 發送一些 DNS 封包的 Windows 伺服器。
答案1
如果您進一步研究這些資料包捕獲,您可能會發現這些 TCP 請求遵循 512 位元組的截斷 UDP 回應。或者,這可能是嘗試執行區域轉移,但您說這是轉發器的事實使我不太願意相信這一點。
在沒有透過 UDP 運行 EDNS 的情況下,DNS 軟體通常會嘗試 TCP 重試以獲得完整的資料包。[SYN]後面跟著[RST, ACK]暗示遠端伺服器沒有偵聽該連接埠並返回經典的“連接被拒絕”。
如果確實發生了這種情況,您需要找出遠端伺服器拒絕 TCP 會話的原因。 DNS 伺服器無法取得完整回覆有效負載的影響將完全取決於請求它的應用程式以及如何使用該資料。