8. Security Considerations (安全考虑)

请求者端对最大缓冲区大小的规范可能会打开 DNS 拒绝服务攻击, 如果响应者可以被迫发送对于中间网关来说太大而无法转发的消息, 从而导致网关和响应者之间的潜在 ICMP 风暴。

宣告非常大的 UDP 缓冲区大小可能导致中间盒丢弃 DNS 消息 (参见第 6.2.6 节)。这可能导致没有成功希望的重传。已发现某些设备拒绝分片的 UDP 数据包。

宣告太小的 UDP 缓冲区大小可能导致回退到 TCP, 对 DNS 服务器产生相应的负载影响。这对于 DNSSEC 尤其重要, 其中答案要大得多。