DNS防护算法2即TC算法,主要是利用DNS的协议特性,ADS代替DNS(即不改变DNS使用DNS提供标准解析服务的设置)向DNS请求用户提出基于TCP协议使用DNS服务的要求,使得客户端DNS查询由使用UDP协议改为使用TCP协议,由于TCP的验证和防护算法更加丰富,因此能够更加准确地验证客户端和过滤攻击流量。对于DNS防护算法2,以下说法正确的是()。
A.DNS前端部署了防火墙限制TCP协议,可以取消(集团公司不建议在DNS前部署防火墙,没有必要、易造成瓶颈)
B.有的正常用户的客户端即用户PC安装防火墙,可能会过滤掉ADS的反向探测包,错判为攻击虚假IP,影响用户感知,这种情况相对较少
C.链路上的路由器、单位的代理网关等,有些管理员也会将其配置为不允许向DNS的TCP53端口发起连接,造成客户端对ADS的反向探测的回应包无法到达ADS,客户端也就无法验证成功,导致DNS解析失败等等
D.客户端如果不支持使用tcp的方式进行dns请求,就会导致无法验证通过,由于上网用户一般都开启,很少会影响解析时延