5. Transport (Trasporto)
5. Transport (Trasporto)
Altre operazioni DNS come DNS Update [RFC2136] POSSONO utilizzare DNS su User Datagram Protocol (UDP) [RFC0768] o DNS su Transmission Control Protocol (TCP) [RFC0793] come protocollo di trasporto, a condizione che seguano il precedente storico secondo cui le query DNS devono prima essere inviate utilizzando DNS su UDP e passare a DNS su TCP solo se necessario [RFC1123]. Questo requisito di preferire UDP è stato successivamente rilassato [RFC7766].
In linea con il precedente più recente, DNS Push Notification è definito solo per TCP. I client DNS Push Notification DEVONO utilizzare DNS Stateful Operations [RFC8490] in esecuzione su TLS su TCP [RFC7858].
La configurazione della connessione su TCP garantisce la raggiungibilità di ritorno e allevia le preoccupazioni di sovraccarico di stato sul server, un potenziale problema con i protocolli senza connessione, che possono essere più vulnerabili allo sfruttamento da parte di attaccanti che utilizzano indirizzi sorgente falsificati. Tutti gli abbonati sono garantiti di essere raggiungibili dal server in virtù della stretta di mano a tre vie TCP. Gli attacchi di flooding sono possibili con qualsiasi protocollo, e un vantaggio di TCP è che esistono già best practice di settore consolidate per proteggere contro SYN flooding e attacchi simili [SYN] [RFC4953].
L'uso di TCP consente inoltre alle DNS Push Notifications di sfruttare gli sviluppi attuali e futuri in TCP come Multipath TCP (MPTCP) [RFC8684], TCP Fast Open (TFO) [RFC7413], l'algoritmo di rilevamento rapido delle perdite TCP RACK [TCPRACK], e così via.
Transport Layer Security (TLS) [RFC8446] è ben compreso ed è utilizzato da molti protocolli a livello applicativo in esecuzione su TCP. TLS è progettato per prevenire intercettazioni, manomissioni e falsificazione di messaggi. TLS è RICHIESTO per ogni connessione tra un client abbonato e un server in questa specifica di protocollo. Misure di sicurezza aggiuntive come l'autenticazione del client durante la negoziazione TLS possono anche essere impiegate per aumentare la relazione di fiducia tra client e server.