Global EDNS (Extension Mechanisms for DNS) Checker
EDNS (Extension Mechanisms for DNS), definido formalmente en RFC 6891, no es un registro de archivo de zona tradicional. En su lugar, es una modificación estructural al propio protocolo DNS principal. Cuando el DNS fue diseñado originalmente en la década de 1980, el protocolo dictaba que cualquier consulta ejecutada sobre el Protocolo de Datagramas de Usuario (UDP) sin estado debía estar estrictamente limitada a un payload máximo de 512 bytes. Durante décadas, esta limitación fue suficiente para transmitir direcciones IP básicas. Sin embargo, a medida que internet evolucionó, este límite rígido se convirtió en un cuello de botella arquitectónico masivo.
Superando la barrera UDP de 512 Bytes
La introducción de los requisitos de infraestructura moderna —específicamente direcciones IPv6 de 128 bits y las firmas criptográficas masivas generadas por DNSSEC— resultó en respuestas DNS que rutinariamente superaban los 1.500 bytes. Sin EDNS, un servidor autoritativo que intente devolver un payload grande sobre UDP se ve obligado a truncar el paquete, establecer el bit "TC" (Truncated) en el encabezado y obligar al cliente a reiniciar por completo la consulta a través de una conexión TCP con estado más lenta. Este proceso de TCP fallback introduce una latencia severa y compuesta en la resolución de la aplicación y estresa los recursos del servidor de nombres. EDNS resuelve esto inyectando un "pseudo-registro OPT" en el encabezado DNS.
El Pseudo-Registro OPT y la Negociación de Búfer
El registro OPT no existe en un archivo de zona estático. Se genera dinámicamente durante la transacción activa. Cuando un resolver compatible con EDNS consulta a un servidor, adjunta este registro OPT para anunciar su tamaño máximo de payload UDP aceptable (comúnmente 1232 o 4096 bytes). Si el servidor autoritativo soporta EDNS, utiliza este tamaño de búfer negociado para transmitir los payloads masivos de DNSSEC en una única transacción UDP ultrarrápida, evitando por completo el lento TCP fallback.
Diagnosticando Agujeros Negros de Red y Caídas del Firewall
Usar un comprobador de cumplimiento EDNS es un paso obligatorio para la depuración avanzada de redes. Muchos firewalls corporativos heredados, sistemas de detección de intrusiones (IDS) obsoletos y enrutadores de consumo mal configurados todavía descartan agresivamente los paquetes UDP entrantes de más de 512 bytes, interpretándolos como ataques de desbordamiento de búfer (buffer overflow) o inundaciones UDP. Cuando esto sucede, el cliente experimenta graves timeouts DNS, causando indisponibilidad intermitente del sitio. Además, EDNS introduce telemetría de enrutamiento avanzada, como EDNS Client Subnet (ECS), que permite a los resolvers recursivos pasar un fragmento de la dirección IP del usuario al servidor autoritativo, permitiendo a los CDNs enrutar el tráfico al centro de datos geográfico más cercano con extrema precisión.