On Mon Jan 25 14:05:42 2016, Julien Escario wrote: > Bonjour, > Je tombe ce matin sur le cas d'un serveur DNS 'en face' qui ne répond pas en > TCP. > Je ne suis pas un grand spécialiste mais d'après ce que j'ai pu lire sur la > kb.isc.org, "c'est mal". > > Ce que je ne comprends pas, ce que le serveur répond en UDP et qu'il > semblerait > que mon résolveur local ne fallback pas tout seul : > > # dig @localhost ada.net.tr ANY => SERVFAIL > > # dig @ns.ada.net.tr ada.net.tr ANY +tcp => SERVAIL aussi > > # dig @ns.ada.net.tr ada.net.tr ANY +notcp => OK, j'ai la zone > > Du coup, pourquoi mon Bind local ne tente pas la résolution en UDP ? Ca > devrait > d'ailleurs être la première chose qu'il fait non ? > > La conf du résolveur est basique : quelques zones qu'il sert de manière > autoritative, un cache qui n'est accessible que depuis localhost. Le reste > c'est > stock Debian, rien concernant UDP ou TCP.
À mon avis, ce n’est pas spécifique à ton résolveur. J’utilise unbound et j’ai un résultat similaire : alarig@drscott:~$ dig ANY ada.net.tr @localhost ; <<>> DiG 9.9.5-9+deb8u4-Debian <<>> ANY ada.net.tr @localhost ;; global options: +cmd ;; connection timed out; no servers could be reached alarig@drscott:~$ dig +tcp ANY ada.net.tr @ns.ada.net.tr ; <<>> DiG 9.9.5-9+deb8u4-Debian <<>> +tcp ANY ada.net.tr @ns.ada.net.tr ;; global options: +cmd ;; connection timed out; no servers could be reached alarig@drscott:~$ dig +notcp ANY ada.net.tr @ns.ada.net.tr ; <<>> DiG 9.9.5-9+deb8u4-Debian <<>> +notcp ANY ada.net.tr @ns.ada.net.tr ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44330 blah. Et pendant ce temps, `tcpdump -i eth0 host '(ns.ada.com.tr. or ns.ada.net.tr.)' and port 53` Avec ça, je ne vois rien passer dans le premier cas, que du SYN dans le deuxième, et du trafic DNS normal dans le troisième. -- alarig
signature.asc
Description: Digital signature
