DNS только по TCP

А разве tcp на dns серверах не только для репликации?

Если быть точнее для передачи больших DNS пакетов (например для AXFR/IXFR и nsupdate). Маленькие пакеты тоже можно гонять через TCP, но смысла в этом ноль из-за гигансткого оверхеда и задержек на трёхсторонние рукопожатия.

А разве tcp на dns серверах не только для репликации?

Засомневался, проверил. Если ввести команду tcpdump -i any -n -X tcp and port 53 и выполнить на том же компьютере host -T ya.ru 8.8.8.8, то и ответ будет, и будут видны пакеты. Если в первой команде заменить tcp на udp, а во второй убрать ключ -T, будет аналогично. А если сделать вразнобой (обращаться по протоколу UDP, а смотреть TCP или наоборот), то никаких пакетов видно не будет.

Да многое что может, что только UDP поддерживает. В чём цель отказа от UDP?

Нет.

Присоединяюсь к вопросу. В чем цель отрубить половинку из работающего?
2ТС Если вы хотите получить ответ в виде «я так сделал и у меня 30 лет всё работает» то он вам ничего не даст. Вы же не знаете какие требования у ответившего, может у него «полтора землекопа».

Технически - если ты можешь всем клиентам объяснить что они должны работать по TCP - то это реально.

Но по факту это утопия.

DNS over HTTPS (DoH)

DNS over TLS (DoT)

Локально или на уровне роутера можно заворачивать все UDP запросы DNS(что очень часто делают провайдеры) на прокси DNS сервер который будет использовать DoH/DoT.

В общем, была мысль сделать DNS сервер на случай, если у провайдера что-то сломается (пусть маловероятно, но вдруг), а гугловские вдруг окажутся заблокированы (опять же, маловероятно, но вдруг, причём блокировка в нынешние времена может прийти с любой из сторон), но рекурсивный DNS, работающий через UDP, может использоваться для атак типа DDoS, поскольку протокол UDP позволяет подменивать адрес отправителя (ответ уходит жертве, причём большего размера, чем исходный запрос). Поэтому и возник вопрос, можно ли в принципе отказаться от DNS через UDP, и что не будет работать, если это сделать.

Просто настрой сетевой экран.

Хотелось бы, чтобы DNS можно было использовать в разных местах, ну например в таких ситуациях: звонит знакомый, проблема с Интернетом, ну и, судя по симптомам, не работает DNS, предлагаешь ему поставить там свой - и всё заработало, значит понятно, куда копать дальше.

90% программ (цифра с потолка) работают с DNS по UDP. Поэтому если ты хочешь хостить публичный DNS, у тебя другого варианта нет, кроме как поддерживать UDP. От участия в DoS защищайся соответствующими настройками, они существуют.

98% программ (цифра с того же потолка) работают с системным API и всякими gethostbyname() и ни о каких UDP/TCP не знают.

Как это системное API настроить на использование TCP в Linux и Windows (раз уж топикстартер собрался траблшутить друзей, вероятно у них оффтопик)? По-моему никак.

в шиндошс в системном днс-клиенте есть doh и dot и для его настройки надо использовать AD ))) ну или локальные политики

использовать tcp - такое насколько я в курсе не позволено

Бобер выдыхай! https://en.wikipedia.org/wiki/Public_recursive_name_server

Поэтому и возник вопрос, можно ли в принципе отказаться от DNS через UDP, и что не будет работать, если это сделать.

У меня на dns открыт tls 853 порт. И с forwarders серверами могу включить полностью по tls.
Но в теории, если я отключу 53/udp в интернете, отвалятся домены, прописанные на DNS, и раком встанет сеть, потому как на DNS в сети все будут ломиться по UDP.

А разве tcp на dns серверах не только для репликации?

Не, оно ещё по tcp большие DNS запросы гоняет.