In riferimento a questo post, il fatto che il mio PIX 501 inizi a strillare per la dimensione "eccessiva" dei pacchetti provenienti da alcuni root nameserver (nella fattispecie K e J), è dovuto principalmente ad una questione di standard. Infatti, lo standard originario del DNS (risalente ormai al lontano 1980) prevedeva una dimensione massima di 512 byte per i pacchetti instradati mendiante il protocollo UDP.
Successivamente, l'introduzione dell'IPv6, l'uso opzionale del protocollo TCP per il trasporto e la presenza di alcune flag aggiuntive, specificate all'interno dello standard EDNS0 (acronimo che sta per Extension Mechanism for DNS), ha fatto si che le reply potessero raggiungere delle dimensioni superiori ai 512 byte.
C'è da dire però che proprio tale "aggiornamento" ha reso possibili alcuni tipi di attacco DDoS diretti ai nameserver, tra cui il DNS amplification.
Spero di essere stato esaustivo.
Bye.