Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 1624 views
  • Users 0 members are here
Options
Suggested

[7.904][BUG][NOT A BUG] DNS Proxy Fails DNSSEC Packet Size Test

Mark_D_01
Hi Due to the DNS changes to the packet size up from 512.
Recent increases in DNSSEC deployment are exposing problems with DNS resolvers that cannot receive large responses. 

Please see the below response
Announced buffer size:
512 bytes
Measured buffer size:
486 bytes
EDNS enabled:
no
DNSSEC enabled:
no

Your resolver does not have DNSSEC enabled.
Your resolver was only able to get packets SMALLER than 512 bytes.



Please see Update status Root DNSSEC  Blog Archive  Status Update, April 2010

On May 5, the world's top domain authorities (led by ICANN, the US Government and Verisign) will complete the first phase of the roll-out of DNSSEC (Domain Name System Security Extensions) across the 13 root servers that direct user requests to the relevant websites on the internet.

The DNSSEC upgrade adds a digital signature to the response from every DNS (Domain Name Server) request to give an internet user an extra level of assurance that the domain name is translated to the correct Internet location (such as a website, or email destination).
Warning: Why your Internet might fail on May 5 - Security - Technology - News - iTnews.com.au




https://www.dns-oarc.net/oarc/services/replysizetest
Parents
  • 0
    Hi Mark_D,

    are you using any DNS forwarders? Maybe the forwarders are not DNSSEC ready.
    On my ASG without any configured forwarders the DNSSEC test succeeds.

    Regards
     Ulrich
  • 0 in reply to da_merlin
    Hi Mark_D,
    I was wondering how to test this function.

    My ASG DNS responds with the same results as yours.

    Now in v7.904 Astaro rolled back some changes to the DNS due to some problems with the changes which increased the security of the DNS.

    So now off to change the firewall to test the ISPs DNS.

    Ian M

    The following is from the ASG 

    fw1-on-house:/home/login # dig +short rs.dns-oarc.net txt
    rst.x476.rs.dns-oarc.net.
    rst.x485.x476.rs.dns-oarc.net.
    rst.x490.x485.x476.rs.dns-oarc.net.
    "203.215.17.43 lacks EDNS, defaults to 512"
    "203.215.17.43 DNS reply size limit is at least 490"
    "Tested at 2010-05-04 09:43:12 UTC"
Reply
  • 0 in reply to da_merlin
    Hi Mark_D,
    I was wondering how to test this function.

    My ASG DNS responds with the same results as yours.

    Now in v7.904 Astaro rolled back some changes to the DNS due to some problems with the changes which increased the security of the DNS.

    So now off to change the firewall to test the ISPs DNS.

    Ian M

    The following is from the ASG 

    fw1-on-house:/home/login # dig +short rs.dns-oarc.net txt
    rst.x476.rs.dns-oarc.net.
    rst.x485.x476.rs.dns-oarc.net.
    rst.x490.x485.x476.rs.dns-oarc.net.
    "203.215.17.43 lacks EDNS, defaults to 512"
    "203.215.17.43 DNS reply size limit is at least 490"
    "Tested at 2010-05-04 09:43:12 UTC"
Children
Cookie Information Banner