8. Security Considerations (Sicherheitsüberlegungen)

Die anfragerseitige Spezifikation der maximalen Puffergröße kann einen DNS-Denial-of-Service-Angriff öffnen, wenn Antworter dazu gebracht werden können, Nachrichten zu senden, die zu groß sind, als dass zwischengeschaltete Gateways sie weiterleiten könnten, was zu potenziellen ICMP-Stürmen zwischen Gateways und Antwortern führt.

Die Ankündigung sehr großer UDP-Puffergrößen kann dazu führen, dass DNS-Nachrichten von Middleboxen verworfen werden (siehe Abschnitt 6.2.6). Dies könnte Neuübertragungen ohne Erfolgsaussicht verursachen. Einige Geräte wurden gefunden, die fragmentierte UDP-Pakete ablehnen.

Die Ankündigung zu kleiner UDP-Puffergrößen kann zu einem Rückfall auf TCP mit entsprechender Lastauswirkung auf DNS-Server führen. Dies ist besonders wichtig bei DNSSEC, wo Antworten viel größer sind.

8. Security Considerations (Sicherheitsüberlegungen)​

8. Security Considerations (Sicherheitsüberlegungen)