Назад | Перейти на главную страницу

День флага DNS: что нужно делать при ошибке edns512tcp = reset?

Используя тест домена на https://dnsflagday.net сообщает, что все наши домены (размещенные в нескольких разных DNS-компаниях) не справляются с этим (обратите внимание на edns512tcp=reset):

xxxxxxxxx.com. @98.124.243.3 (dns5.name-services.com.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns512tcp=reset optlist=ok,nsid (pdns12.dns.sjl.prod.tucows.net)

The Following Tests Failed

    EDNS - over TCP Response (edns@512tcp)

    dig +vc +nocookie +norec +noad +edns +dnssec +bufsize=512 dnskey zone @server
    expect: NOERROR
    expect: OPT record with version set to 0
    See RFC5966 and See RFC6891

Codes

    ok - test passed.
    nsid - NSID supported [RFC5001].
    reset - TCP connection reset.

Но на сайте нет объяснений действий, и поиск в Интернете не проясняет это.

Кажется, он говорит, что не ожидает reset? dig показывает все домены, в которых требуется следующее:

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1452

Что тестер дня DNS-флага пытается мне сказать неправильно? Могу ли я что-нибудь сделать, чтобы это исправить, или это проблема нашего авторитетного DNS-хоста?

domain-name-system dns-hosting

Вы не указываете свое доменное имя, но, используя команду, указанную в цитированных вами выходных данных, я получаю то же поведение «сброса соединения», на которое они жалуются:

$ dig +vc +nocookie +norec +noad +edns +dnssec +bufsize=512 dnskey example.com @98.124.243.3
;; communications error to 98.124.243.3#53: connection reset
$

Как отмечено в вашем ednscomp тестовый результат, что ожидается в этом конкретном тесте:

expect: NOERROR
expect: OPT record with version set to 0

Т.е. ожидает ответа с NOERROR статус и EDNS OPT псевдозапись с версией 0 для этого запроса.

Сообщенная проблема, в частности, заключается в том, что ваш сервер имен по какой-либо причине сбрасывает соединение вместо обработки запроса.

Стоит отметить, что ednscomp набор тестов включает в себя множество тестов, и то, что вы найдете в выходных данных, - это тесты, которые не прошли. Т.е. приведенная выше команда dig сама по себе ни в коем случае не является исчерпывающим тестом, она просто соответствует конкретному сценарию тестирования, в котором ваш сервер имен выходит из строя.