Supponiamo che sto gestendo un firewall tra server DNS e client. Esiste un modo per forzare i client a utilizzare TCP anziché UDP, in modo da poter prevenire il tipo di spoofing DNS degli attacchi DDoS?
Dovresti leggere Una domanda sui protocolli DNS di Geoff Huston, che è un'indagine reale su questa idea, con statistiche e tutto:
If the DNS represents such a significant vulnerability for the Internet through these UDP-based reflection attacks, then does TCP represent a potential mitigation? Could we realistically contemplate moving away from the ubiquitous use of ENDS0 to support large DNS responses in UDP, and instead use DNS name servers that limit the maximal size of their UDP responses, and turn to TCP for larger responses?
Penso che i punti chiave di quel documento che rispondono alla tua domanda siano:
Personalmente , penso che tu stia violando lo spirito di RFC 1123 :
DNS resolvers and recursive servers MUST support UDP, and SHOULD support TCP, for sending (non-zone-transfer) queries.
Non sono sicuro di falsificare UDP solo per convertire le persone fino ai conteggi TCP come supporto UDP. Detto questo, c'è sempre un divario tra RFC e realtà ...