[Postfixbuch-users] Langsamer DNS(SEC) von postbank.de

[Max Grobecker]

Hallo,

gerade von diversen Systemen/Anbindungen aus getestet:
- JA, die UDP-Pakete sind zu groß und kommen nur auf 1220 Bytes Payload verkürzt hier an, keine Fragmentierung
- JA, das passiert auch, wenn man explizit EDNS aktiviert
- JA, eine TCP-Verbindung funktioniert tadellos


Am 28.01.2015 um 11:13 schrieb Jan Behrend:
> Es sieht so aus, als ob "ns1.postbank.de" nicht "freiwillig" auf TCP
> umschaltet.  Wie funktioniert die Mimik normalerweise, wenn UDP-Anfragen
> nicht erfolgreich sind und man auf TCP wechslen müßte.  Unser DNS macht
> zu "ns1.postbank.de" nur UDP Anfragen.

Nicht der authoritative Server schaltet um, sondern der Client (resp. Resolver).
Wenn der Client TCP will, dann bekommt er TCP, so einfach ist das ;-)
Erhält er jedoch statt einer verkürzten Antwort garnichts, wird oftmals versucht noch ein paar Pakete zu schicken
auf TCP umgeschaltet wird. Mein Bind9 tut das automatisch, bei manchen muss man explizit EDNS aktivieren.
Allerdings sollte DNSSEC-Verifikation, so der Resolver dies tut, eigentlich EDNS implizieren.


Könnte es sein, dass eure Firewall derart große DNS-Antworten als Attacke wertet und versucht wird, das zu filtern?
Du kannst ja mal auf den beteiligten Clients mit tcpdump horchen, ob da was zurückkommt und wie groß es ist.



Viele Grüße aus dem Tal
Max

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150128/2e8915fc/attachment.asc>