応答が512バイトを超えて切り捨てられている場合、DNSクエリを実行できません
状況:
- Azureで実行されているLinuxマシン
- 112件の結果を返すパブリックドメインを探しています
- パケット応答サイズは1905バイト
ケース1:
- google DNS 8.8.8.8に問い合わせ-切り捨てられていない応答を返します。全て大丈夫。
ケース2:
- azure DNS 168.63.129.16への問い合わせ-切り捨てられた応答を返し、TCPに切り替えようとしますが、「サーバーアドレスに接続できません」というエラーで失敗します。ただし、 "Sudo"を使用して尋問を実行すると、問題なく動作します。
問題はいつでも再現できます。
Sudoなし:
$ Dig aerserv-bc-us-east.bidswitch.net @8.8.8.8 ; <<>> Dig 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> aerserv-bc-us-east.bidswitch.net @8.8.8.8 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49847 ;; flags: qr rd ra; QUERY: 1, ANSWER: 112, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;aerserv-bc-us-east.bidswitch.net. IN A ;; ANSWER SECTION: aerserv-bc-us-east.bidswitch.net. 119 IN CNAME bidcast-bcserver-gce-sc.bidswitch.net. bidcast-bcserver-gce-sc.bidswitch.net. 119 IN CNAME bidcast-bcserver-gce-sc-multifo.bidswitch.net. bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.189.137 bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.205.98 -------- bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.28.65 bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.213.32 ;; Query time: 12 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Thu Oct 03 22:28:09 EEST 2019 ;; MSG SIZE rcvd: 1905 [azureuser@testserver~]$ Dig aerserv-bc-us-east.bidswitch.net ;; Truncated, retrying in TCP mode. ;; Connection to 168.63.129.16#53(168.63.129.16) for aerserv-bc-us-east.bidswitc h.net failed: timed out. ;; Connection to 168.63.129.16#53(168.63.129.16) for aerserv-bc-us-east.bidswitch.net failed: timed out. ; <<>> Dig 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> aerserv-bc-us-east.bidswitch.net ;; global options: +cmd ;; connection timed out; no servers could be reached ;; Connection to 168.63.129.16#53(168.63.129.16) for aerserv-bc-us-east.bidswitch.net failed: timed out.Sudoの場合:
[root@testserver ~]# Dig aerserv-bc-us-east.bidswitch.net ;; Truncated, retrying in TCP mode. ; <<>> Dig 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> aerserv-bc-us-east.bidswitch.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8941 ;; flags: qr rd ra; QUERY: 1, ANSWER: 112, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1280 ;; QUESTION SECTION: ;aerserv-bc-us-east.bidswitch.net. IN A ;; ANSWER SECTION: aerserv-bc-us-east.bidswitch.net. 120 IN CNAME bidcast-bcserver-gce-sc.bidswitch.net. bidcast-bcserver-gce-sc.bidswitch.net. 120 IN CNAME bidcast-bcserver-gce-sc-multifo.bidswitch.net. bidcast-bcserver-gce-sc-multifo.bidswitch.net. 60 IN A 35.211.56.153 ....... bidcast-bcserver-gce-sc-multifo.bidswitch.net. 60 IN A 35.207.61.237 bidcast-bcserver-gce-sc-multifo.bidswitch.net. 60 IN A 35.207.23.245 ;; Query time: 125 msec ;; SERVER: 168.63.129.16#53(168.63.129.16) ;; WHEN: Thu Oct 03 22:17:18 EEST 2019 ;; MSG SIZE rcvd: 1905
私はインターネットで見つけたすべてをチェックしましたが、これがrootアカウントから実行された場合、または応答パッケージのサイズが大きすぎて応答が切り捨てられ、DNSクエリがUDPから強制的に切り替わった場合にSudo権限で実行された場合にのみ意図したとおりに機能する理由をどこにも説明しませんでしたTCPへ。
/etc/resolv.confに「options edns0」、「options use-vc」、または「options edns0 use-vc」を追加しても、どちらも役に立ちません。
CentOS 7.x、Ubuntu 16.04および18.04で同じ動作
更新:curlとtelnetでテストされました。動作は同じです。 Sudoまたはrootアカウントから機能し、Sudoなしまたは標準アカウントから失敗します。
誰かがUDPからTCP)に切り替えるときにスーパーユーザーのアクセス許可が必要な理由について洞察を提供し、解決策がある場合はそれを支援できますか?
更新:
- 私はこれが長い記事であることを知っていますが、答える前にすべて読んでください。
- ファイアウォールは、any to anyを許可するように設定されています。
- ポート53は、私が持っているすべてのテスト環境でTCPおよびUDPで開いています。
- SELinux/AppArmorが無効になっています。
Update2:
Debian9(カーネル4.19.0-0.bpo.5-cloud-AMD64)は、Sudoがなくても正常に動作します。 RHEL8(カーネル4.18.0-80.11.1.el8_0.x86_64)は正常に動作しますが、Sudoを使用しないと、大幅な遅延(最大30秒)が発生します。
Update3:テストできたが、機能しないディストリビューションのリスト:
- RHEL 7.6、カーネル3.10.0-957.21.3.el7.x86_64
- CentOS 7.6、カーネル3.10.0-862.11.6.el7.x86_64
- Oracle7.6、カーネル4.14.35-1902.3.2.el7uek.x86_64
- Ubuntu14.04、カーネル3.10.0-1062.1.1.el7.x86_64
- Ubuntu16.04、カーネル4.15.0-1057-Azure
- Ubuntu18.04、カーネル5.0.0-1018-Azure
- Ubuntu19.04、カーネル5.0.0-1014-Azure
- SLES12-SP4、カーネル4.12.14-6.23-Azure
- SLES15、カーネル4.12.14-5.30-Azure
したがって、基本的に私がテストして問題のないディストリビューションはDebian 9だけです。RHEL8には大きな遅延があり、タイムアウトを引き起こす可能性があるため、完全に機能しているとは言えません。
これまでのところ、Debian 9と私がテストした他のディストリビューションとの最大の違いはsystemd(debian 9が欠落している)です...これが原因かどうかを確認する方法がわかりません。
ありがとうございました!
「なぜこれがこのように機能するのかについての洞察を提供し、もしあれば、いくつかの解決策を手助けしてくれませんか?」
短い答え:
デフォルトのAzure VMは壊れたDNSで作成されます:systemd-resolvedはさらに設定が必要です。Sudo systemctl status systemd-resolvedはこれをすぐに確認します。/etc/resolv.confは127.0.0.53を指します-ローカルの未設定のスタブリゾルバー。
ローカルスタブリゾルバーsystemd-resolvedが構成解除されました。フォワーダーが設定されていなかったため、127.0.0.53を押した後、他に問い合わせる必要がありませんでした。ああ。最後にジャンプして、Ubuntu 18.04用に構成する方法を確認してください。
その結論に到達する方法に関心がある場合は、長い答えを読んでください。
長い答え:
DNS応答が512バイトを超えて切り捨てられる理由:
TCP [RFC793]は常にフルゾーン転送(AXFRを使用)に使用され、サイズがDNSプロトコルの元の512バイト制限を超えるメッセージによく使用されます。
出典: https://tools.ietf.org/html/rfc7766
分析:
これは思ったよりトリッキーでした。それで、私はUbuntuでUbuntu 18.04 VM=をスピンアップして、OPの視点からテストできるようにしました。
私の出発点は、DNSクエリを窒息させるものがないことを検証することでした。
Sudo iptables -nvx -L
Sudo apparmor_status
iptablesのすべてのチェーンのデフォルトポリシーは[〜#〜] accept [〜#〜]に設定されていますが、Apparmorは "enforcing"に設定され、DNSに関係するものには何もありませんでした。そのため、この時点ではホスト上で接続または権限の問題は確認されていません。
次に、方法を確立する必要がありました。DNSクエリはギアを介して曲がっていました。
cat /etc/resolv.conf
# This file is managed by man:systemd-resolved(8). Do not edit.
#
# This is a dynamic resolv.conf file for connecting local clients to the
# internal DNS stub resolver of systemd-resolved. This file lists all
# configured search domains.
#
# Run "systemd-resolve --status" to see details about the uplink DNS servers
# currently in use.
#
# Third party programs must not access this file directly, but only through the
# symlink at /etc/resolv.conf. To manage man:resolv.conf(5) in a different way,
# replace this symlink by a static file or a different symlink.
#
# See man:systemd-resolved.service(8) for details about the supported modes of
# operation for /etc/resolv.conf.
nameserver 127.0.0.53
options edns0
search ns3yb2bs2fketavxxx3qaprsna.zx.internal.cloudapp.net
したがって、resolv.confによると、システムはsystemd-resolvedと呼ばれるローカルスタブリゾルバを想定しています。上記のテキストに示されたヒントごとにsystemd-resolvedのステータスを確認すると、erroringであることがわかります。
Sudo systemctl status systemd-resolved
● systemd-resolved.service - Network Name Resolution
Loaded: loaded (/lib/systemd/system/systemd-resolved.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2019-10-08 12:41:38 UTC; 1h 5min ago
Docs: man:systemd-resolved.service(8)
https://www.freedesktop.org/wiki/Software/systemd/resolved
https://www.freedesktop.org/wiki/Software/systemd/writing-network-configuration-managers
https://www.freedesktop.org/wiki/Software/systemd/writing-resolver-clients
Main PID: 871 (systemd-resolve)
Status: "Processing requests..."
Tasks: 1 (limit: 441)
CGroup: /system.slice/systemd-resolved.service
└─871 /lib/systemd/systemd-resolved
Oct 08 12:42:14 test systemd-resolved[871]: Server returned error NXDOMAIN, mitigating potential DNS violation DVE-2018-0001, retrying transaction with reduced feature level UDP.
<Snipped repeated error entries>
/etc/nsswitch.conf DNSクエリの解決に使用されるソースの順序ソースを設定します。これは私たちに何を伝えますか?:
hosts: files dns
まあ、DNSクエリはsystemd-resolvedで指定されていないため、ローカルの/etc/nsswitch.confスタブリゾルバーにヒットすることはありません。
フォワーダーはsystemd-resolvedスタブリゾルバーにも設定されていますか?!?!?その構成を/etc/systemd/resolved.confで確認してみましょう
[Resolve]
#DNS=
#FallbackDNS=
#Domains=
#LLMNR=no
#MulticastDNS=no
#DNSSEC=no
#Cache=yes
#DNSStubListener=yes
いいえ:systemd-resolvedには、ローカルのip:nameマッピングが見つからないかどうかを確認するフォワーダーが設定されていません。
このすべての最終結果は次のとおりです。
/etc/nsswitch.confは、
/etc/hostsにローカルIP:nameマッピングが見つからない場合、DNSクエリをDNSに送信します照会されるDNSサーバーは
127.0.0.53であり、これは構成ファイル/etc/systemd/resolved.confを確認して構成されていないことがわかりました。ここでフォワーダーが指定されていない場合、問題を解決する方法はありません。
テスト:
168.63.129.16を直接指定して、スタブリゾルバー127.0.0.53をオーバーライドしようとしました。これは失敗しました:
Dig aerserv-bc-us-east.bidswitch.net 168.63.129.16
; <<>> Dig 9.11.3-1ubuntu1.9-Ubuntu <<>> aerserv-bc-us-east.bidswitch.net 168.63.129.16
;; global options: +cmd
;; connection timed out; no servers could be reached
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 24224
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;168.63.129.16. IN A
;; Query time: 13 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Tue Oct 08 13:26:07 UTC 2019
;; MSG SIZE rcvd: 42
いいえ。出力に;; SERVER: 127.0.0.53#53(127.0.0.53)が表示されている場合は、オーバーライドしていないこと、ローカルの未構成のスタブリゾルバーがまだ使用されていることを示しています。
ただし、次のいずれかのコマンドを使用すると、デフォルトの127.0.0.53スタブリゾルバーが上書きされたため、NOERROR結果を返すことに成功しました。
Sudo Dig aerserv-bc-us-east.bidswitch.net @168.63.129.16
または
Dig +trace aerserv-bc-us-east.bidswitch.net @168.63.129.16
そのため、systemd-resolvedスタブリゾルバーの使用に依存するすべてのクエリは、設定されるまで運命づけられていました。
解決:
私の頭文字-正しくない- TCP/5がブロックされていると信じていました: "切り捨てられた512全体」というのは、ちょっとしたやり直しでした。スタブリゾルバーが構成されていません。私は、「NEVER ASSUME ;-)-DNSが別の方法で構成されていることを知っている、知っている」と仮定しました。
systemd-resolvedの設定方法:
Ubuntu 18.04
次のように/etc/nsswitch.confのhostsディレクティブを編集して、resolveを前に追加して、systemd-resolvedをDNS解決の最初のソースとして設定します。
hosts: resolve files dns
DNSディレクティブ(少なくとも)in/etc/systemd/resolved.confを編集して、この例では次のようなフォワーダーを指定します。
[Resolve]
DNS=168.63.129.16
systemd-resolvedを再起動します。
Sudo systemctl restart systemd-resolved
RHEL 8:
Red Hatは、systemd-resolvedをスタブリゾルバとして設定することに関して、ほぼすべてを行います彼らがシステムに使用するように指示しなかった場合を除きます!
以下のように/etc/nsswitch.confのhostsディレクティブを編集して、resolveを前に追加して、systemd-resolvedをDNS解決の最初のソースとして設定します。
hosts: resolve files dns
次にsystemd-resolvedを再起動します:
Sudo systemctl restart systemd-resolved
ソース: https://www.linkedin.com/Pulse/config-rhel8-local-dns-caching-terrence-houlahan/
結論:
systemd-resolvedが設定されると、テストVMのDNSは期待どおりに動作しました。私はそれがそれについて行うと思います...
最初の奇妙なこと:2つの異なるネットワーク接続(企業ネットワークと個人の専用サーバー)から要求すると、答えの切り捨てを再現できません。
$ Dig +ignore aerserv-bc-us-east.bidswitch.net|more
; <<>> Dig 9.10.3-P4-Debian <<>> +ignore aerserv-bc-us-east.bidswitch.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53582
;; flags: qr rd ra; QUERY: 1, ANSWER: 112, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;aerserv-bc-us-east.bidswitch.net. IN A
;; ANSWER SECTION:
aerserv-bc-us-east.bidswitch.net. 119 IN CNAME bidcast-bcserver-gce-sc.bidswitch.
net.
bidcast-bcserver-gce-sc.bidswitch.net. 119 IN CNAME bidcast-bcserver-gce-sc-multif
o.bidswitch.net.
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.198.80
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.28.65
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.21.156
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.55.252
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.212.159
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.70.114
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.143.99
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.0.44
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.205.98
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.50.47
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.40.174
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.7.162
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.118.20
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.190.79
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.54.244
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.54.230
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.60.30
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.5.194
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.97.53
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.192.26
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.80.22
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.37.223
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.38.49
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.61.237
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.70.45
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.56.153
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.196.219
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.12.175
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.131.33
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.117.99
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.23.245
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.21.191
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.155.238
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.166.124
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.225.231
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.82.120
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.13.126
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.46.230
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.29.109
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.201.160
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.52.158
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.239.215
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.247.128
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.180.252
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.160.123
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.73.85
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.3.121
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.166.205
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.163.92
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.241.92
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.150.67
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.49.200
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.148.225
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.165.199
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.190.56
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.177.221
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.130.95
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.18.234
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.59.8
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.190.86
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.212.197
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.124.105
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.249.122
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.166.163
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.255.194
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.69.212
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.51.91
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.97.73
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.119.122
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.214.84
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.75.175
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.60.160
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.51.125
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.175.225
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.78.105
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.123.219
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.230.248
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.119.133
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.241.216
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.145.178
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.182.35
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.87.230
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.236.194
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.236.230
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.189.137
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.52.29
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.139.113
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.225.15
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.230.178
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.123.196
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.154.229
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.175.142
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.17.175
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.155.208
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.213.32
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.109.194
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.25.234
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.130.94
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.248.106
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.210.111
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.223.18
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.125.62
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.204.171
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.180.174
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.29.9
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.45.75
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.172.232
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.207.31.235
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.137.11
bidcast-bcserver-gce-sc-multifo.bidswitch.net. 59 IN A 35.211.193.229
;; Query time: 833 msec
;; SERVER: 10.132.1.40#53(10.132.1.40)
;; WHEN: Fri Oct 04 10:58:11 CEST 2019
;; MSG SIZE rcvd: 1905
GoogleのDNS(Dig @8.8.8.8)をリクエストしても、取得した動作を再現できません。だから、私はあなたが使っているネームサーバー(@ 168.63.129.16)が原因で切り捨てられていると思います
TCPにフォールバックするときに、要求が通常のユーザーでは失敗しましたが、rootではなくローカルの問題のように見えるという事実。 53/TCPを通常のユーザーに禁止するファイアウォールルールがないことを確認してください。
Dig @8.8.8.8でテストできますか?