Soms moet je terug komen op een eerdere posting, waarbij ik mijn ongenoegen uitte over Afnic. Zij wouden namelijk met zowel TCP als UDP toegang hebben tot poort 53 waar de DNS deamon luisterd. Normaal gesproken werken aanvragen volgens UDP en wordt TCP enkel gebruikt om verschillende eigen DNS-servers in sync te houden via het AXFR-protocol. Er is echter een maar: UDP pakketten zijn beperkt tot maximaal 1452 bytes (MTU van 1500 minus >= 20 bytes voor de IP-header minus 8 bytes voor de UDP header) maar laten standaard 512 bytes toe.

Nu kun je best wat informatie stoppen in 512 bytes maar dit heeft zijn beperkingen. Als voorbeeld noem ik een SPF-record in de DNS met een grote lijst aan addressen. En met de komst van IPv6 wordt deze lijst alleen maar groter. Nu kom je boven de 512 bytes uit, waardoor je over moet schakelen van TCP naar UDP om alles toch te kunnen verwerken. Met de komst van DNSSEC zullen de paketten alleen maar groter worden. Als voorbeeld een screenshot van het opvragen van informatie bij de root-servers, waarbij het pakket al op 492 bytes uitkomt. Dit is een aanvraag op een server die nog geen DNSSEC toelaat.