DNS防护算法2即TC算法，主要是利用DNS的协议特性，ADS代替DNS（即不改变DNS使用DNS提供标准解析服务的设置)向DNS请求用户提出基于TCP协议使用DNS服务的要求，使得客户端DNS查询由使用UDP协议改为使用TCP协议，由于TCP的验证和防护算法更加丰富，因此能够更加准确地验证客户端和过滤攻击流量。对于DNS防护算法2，以下说法正确的是（)。

A.DNS前端部署了防火墙限制TCP协议，可以取消(集团公司不建议在DNS前部署防火墙，没有必要、易造成瓶颈)

B.有的正常用户的客户端即用户PC安装防火墙，可能会过滤掉ADS的反向探测包，错判为攻击虚假IP，影响用户感知，这种情况相对较少

C.链路上的路由器、单位的代理网关等，有些管理员也会将其配置为不允许向DNS的TCP53端口发起连接，造成客户端对ADS的反向探测的回应包无法到达ADS，客户端也就无法验证成功，导致DNS解析失败等等

D.客户端如果不支持使用tcp的方式进行dns请求，就会导致无法验证通过，由于上网用户一般都开启，很少会影响解析时延