Die zunehmende Verbreitung von DNSSEC führt zu Problemen mit DNS-Resolvern, die keine großen Antworten empfangen können. Die maximale Antwortgröße zwischen einem DNS-Server und einem Resolver kann durch eine Reihe von Faktoren begrenzt sein.

• Wenn ein Resolver die Extension Mechanisms for DNS (EDNS) nicht unterstützt, sind die Antworten auf 512 Bytes begrenzt.
• Der Resolver befindet sich möglicherweise hinter einer Firewall, die IP-Fragmente blockiert.
• Einige DNS-fähige Firewalls blockieren Antworten, die größer als 512 Byte sind.

Der BIND-Resolver verfügt seit Version 9.5.0 über eine Funktion, mit der die Größe des angekündigten EDNS-Empfangspuffers (auf 512) verringert wird, wenn die Abfrage eine Zeitüberschreitung verursacht. Wir haben festgestellt, dass dies bei DNSSEC-signierten Zonen zu einem erheblichen Anstieg der TCP-Verbindungen führt. DNS-OARC hat den DNS Reply Size Test Server entwickelt, um Benutzern zu helfen, Resolver zu identifizieren, die keine großen DNS-Antworten empfangen können.

Web-Link: DNS-ORAC - Website