一个黑客新闻的讨论围绕 RFC 6677，详细说明了 DNS 在 TCP 上的传输实现要求。核心问题是由于 DNSSEC 和 IPv6 的采用，DNS 响应尺寸不断增加，经常超过 512 字节的 UDP 限制，导致截断。 虽然 IPv6 *允许* 更大的 UDP 数据包（1280 字节），但 IPv6 的广泛采用仍然缓慢，并且 DNS 查询不会自动使用它。DNSSEC 的原始设计没有预料到保护 DNS 记录机密的需求，导致响应变大。 评论者强调，为了实现互操作性，存根解析器（如操作系统 DNS 库）*必须*支持 TCP。此外，DNSSEC 验证应尽可能靠近用户进行。使用 TCP 还可以减轻 DNS 作为潜在的拒绝服务 (DoS) 放大向量的风险，但普遍实施是避免攻击的关键。