DNS的TCP 53号端口服务到底在什么场景下会用到? 绝大多数运维老鸟们定然不屑!“TCP
53号端口只有在DNS服务之间做区域传输同步的时候用到,用户查询服务是不会用到的”——教科书上这么写的,没错,老沈TCP/IP详解课程上课时也是这么说的。
是的,一直以来老沈也是这么认为的,DNS在用户查询服务时用的是UDP的53端口,TCP的53端口是主辅DNS之间同步和传输数据才用到的。
然而老沈今天遇到的问题和随之展开的一系列数据分析将这一“常识性”观点彻底推翻,因此,才写下本文。(要知道老沈太忙,不是自己都觉得很重要的问题是不会轻易写博文的),下面展开:
一、问题
近日出于加固校园网内网安全的考虑,网络中心在数据中心出入口全面升级ACL,做法是封死所有不需要为用户提供服务的通信端口,策略之一就是对DNS服务器的访问控制,只放行到DNS服务器UDP的53号端口的访问,其它端口一律封闭。
发现和分析:
1、策略部署了两天,初看没有什么问题,校内用户上网一切正常......
2、28日夜接到用户反映,上网是正常的,但是在某些场景下图片显示不全,这里的场景是手机端腾讯新闻APP,用手机浏览腾讯新闻APP时总有部分图片显示不出来,而且这些图片是腾讯新闻首页的缩略图或者栏目列表缩略图,新闻正文页的图片是没有问题的。而电脑端则一切正常。
3、初步考虑分析,老沈未太在意,因为学校这么大,只有1个用户反映这个问题,估计是用户端自己的设备问题,比如说是用户自己的手机问题、无线路由器问题,考虑到近来广西电信省网也出过几次问题考虑也可能是运营商问题。
4、29日下午上网,老沈发现自己手机浏览腾讯新闻出现同一问题,预感到事情没有那么简单,开始查摆分析。
二、分析和结论
先放结论和故障解决方法:
被ACL拦截的DNS的TCP 53号端口在这个场景中需要用来与用户建立面向连接的DNS请求应答服务,因此在ACL中放行用户对DNS服务器的TCP 53号端口访问后,问题立马解决。
下面来详细分析,从头说起:
1、UDP协议或程序设计中的包大小问题:
我们常说以太网MTU为1500字节,是的,所以UDP报文的理论最大值为1480(在没有使用IP选项
是的,一直以来老沈也是这么认为的,DNS在用户查询服务时用的是UDP的53端口,TCP的53端口是主辅DNS之间同步和传输数据才用到的。
然而老沈今天遇到的问题和随之展开的一系列数据分析将这一“常识性”观点彻底推翻,因此,才写下本文。(要知道老沈太忙,不是自己都觉得很重要的问题是不会轻易写博文的),下面展开:
一、问题
近日出于加固校园网内网安全的考虑,网络中心在数据中心出入口全面升级ACL,做法是封死所有不需要为用户提供服务的通信端口,策略之一就是对DNS服务器的访问控制,只放行到DNS服务器UDP的53号端口的访问,其它端口一律封闭。
发现和分析:
1、策略部署了两天,初看没有什么问题,校内用户上网一切正常......
2、28日夜接到用户反映,上网是正常的,但是在某些场景下图片显示不全,这里的场景是手机端腾讯新闻APP,用手机浏览腾讯新闻APP时总有部分图片显示不出来,而且这些图片是腾讯新闻首页的缩略图或者栏目列表缩略图,新闻正文页的图片是没有问题的。而电脑端则一切正常。
3、初步考虑分析,老沈未太在意,因为学校这么大,只有1个用户反映这个问题,估计是用户端自己的设备问题,比如说是用户自己的手机问题、无线路由器问题,考虑到近来广西电信省网也出过几次问题考虑也可能是运营商问题。
4、29日下午上网,老沈发现自己手机浏览腾讯新闻出现同一问题,预感到事情没有那么简单,开始查摆分析。
二、分析和结论
先放结论和故障解决方法:
被ACL拦截的DNS的TCP 53号端口在这个场景中需要用来与用户建立面向连接的DNS请求应答服务,因此在ACL中放行用户对DNS服务器的TCP 53号端口访问后,问题立马解决。
下面来详细分析,从头说起:
1、UDP协议或程序设计中的包大小问题:
我们常说以太网MTU为1500字节,是的,所以UDP报文的理论最大值为1480(在没有使用IP选项