Global EDNS (Extension Mechanisms for DNS) Checker
EDNS (Extension Mechanisms for DNS), được định nghĩa chính thức trong RFC 6891, không phải là một bản ghi zone file truyền thống. Nó đúng hơn là một thay đổi cấu trúc đối với giao thức DNS cốt lõi. Khi DNS ban đầu được thiết kế vào những năm 1980, giao thức này quy định rằng mọi query chạy qua giao thức User Datagram Protocol (UDP) stateless bắt buộc phải bị giới hạn chặt chẽ ở mức Payload tối đa là 512 byte. Trong nhiều thập kỷ, giới hạn này là đủ để truyền tải các địa chỉ IP cơ bản. Tuy nhiên, khi internet tiến hóa, giới hạn cứng nhắc này đã trở thành một nút thắt (bottleneck) khổng lồ đối với kiến trúc hệ thống.
Vượt qua rào cản 512-Byte của UDP
Sự ra đời của các yêu cầu hạ tầng hiện đại — đặc biệt là địa chỉ IPv6 128-bit và các chữ ký mã hóa khổng lồ được sinh ra bởi DNSSEC — đã khiến các phản hồi DNS thường xuyên vượt qua ngưỡng 1,500 byte. Nếu không có EDNS, một authoritative server đang cố gắng trả về một payload lớn qua UDP sẽ buộc phải cắt bớt (truncate) gói tin, thiết lập bit "TC" (Truncated) trong header, và bắt client phải bắt đầu lại toàn bộ query thông qua một kết nối TCP stateful chậm hơn. Quá trình fallback TCP này gây ra hiện tượng delay (latency) cộng dồn nghiêm trọng cho việc phân giải ứng dụng và làm tăng gánh nặng cho resource của nameserver. EDNS giải quyết điều này bằng cách chèn một "OPT pseudo-record" vào phần header DNS.
OPT Pseudo-Record và Buffer Negotiation
Bản ghi OPT không hề tồn tại trong một zone file tĩnh (static). Nó được tạo ra một cách dynamic trong suốt quá trình transaction diễn ra. Khi một resolver tương thích EDNS tiến hành query một server, nó đính kèm bản ghi OPT này để khai báo (advertise) dung lượng UDP payload tối đa mà nó có thể chấp nhận được (thường là 1232 hoặc 4096 byte). Nếu authoritative server hỗ trợ EDNS, nó sẽ sử dụng kích thước buffer đã thương lượng (negotiated buffer size) để truyền tải các payload DNSSEC khổng lồ trong một transaction UDP cực nhanh và duy nhất, bỏ qua hoàn toàn quá trình fallback TCP chậm chạp.
Chẩn đoán Network Blackholes và Firewall Drops
Việc sử dụng công cụ EDNS compliance checker là bước bắt buộc để debug hệ thống mạng chuyên sâu. Nhiều hệ thống firewall legacy của doanh nghiệp, các hệ thống phát hiện xâm nhập (IDS) lỗi thời, và những thiết bị router dân dụng cấu hình kém vẫn tiếp tục tự động drop các gói tin UDP đến mà có kích thước vượt quá 512 byte, cho rằng chúng là các cuộc tấn công buffer overflow hoặc UDP flood. Khi hiện tượng này xảy ra, client sẽ gặp phải các lỗi timeout DNS nghiêm trọng, khiến site bị chập chờn lúc vào được lúc không. Hơn nữa, EDNS cung cấp tính năng telemetry định tuyến nâng cao, điển hình là EDNS Client Subnet (ECS), cho phép các recursive resolver truyền một đoạn địa chỉ IP của người dùng đến authoritative server, qua đó giúp các hệ thống CDN route traffic đến trung tâm dữ liệu địa lý gần nhất với độ chính xác tuyệt đối.