Extension Mechanisms for DNS (EDNS) on määritys, jolla voidaan laajentaa useiden DNS-protokollan parametrien kokoa, joilla on kokorajoituksia ja joita Internet Design Community pitää liian rajoittavina protokollan toiminnallisuuden laajentamiseen. Internet Engineering Working Group julkaisi ensimmäisen sarjan laajennuksia vuonna 1999 nimellä RFC 2671, joka tunnetaan myös nimellä EDNS0, joka päivitettiin RFC 6891:ssä vuonna 2013 ja muutti lyhenteen EDNS:ksi.
Domain Name System kehitettiin ensimmäisen kerran 1980-luvun alussa. Siitä lähtien sitä on laajennettu vähitellen uusilla ominaisuuksilla säilyttäen samalla yhteensopivuuden protokollan aikaisempien versioiden kanssa.
Taustalla olevan DNS-protokollan muutamien lippukenttien, palautuskoodien ja tarratyyppien koon rajoitukset estivät joidenkin toivottujen ominaisuuksien tuen. Lisäksi UDP DNS -viestit rajoitettiin 512 tavuun, pois lukien IP-protokolla- ja siirtokerroksen otsikot [1] . Virtuaalisen siirtoverkon käyttäminen Transmission Control Protocol (TCP) -protokollalla lisäisi yleiskustannuksia merkittävästi. Tästä on tullut suuri este uusien ominaisuuksien lisäämiselle DNS:ään. Vuonna 1999 Paul Vixey ehdotti DNS:n laajentamista sisältämään uusia lippuja ja vastauskoodeja sekä pidempien vastausten tukea kehyksessä, joka oli taaksepäin yhteensopiva aikaisempien toteutusten kanssa.
Koska DNS-otsikkoon ei voi lisätä uusia lippuja, EDNS lisää DNS-sanomiin tietoja pseudoresurssitietueiden ("pseudo-RR") muodossa, jotka sisältyvät DNS-viestin "Lisätiedot" -osioon. Huomaa, että tämä osio on sekä pyynnöissä että vastauksissa.
EDNS edustaa yhtä pseudo-RR-tyyppiä: OPT.
Pseudo-RR:inä OPT-tyyppiset RR:t eivät koskaan näy missään vyöhyketiedostossa; ne ovat vain DNS-osallistujien tuottamissa viesteissä.
Mekanismi on taaksepäin yhteensopiva, koska vanhemmat DNS-vastaajat jättävät huomioimatta kaikki tuntemattoman OPT-tyypin RR:t pyynnössä, ja uudempi DNS-vastaaja ei koskaan sisällytä OPT:tä vastaukseen, jos sitä ei ollut pyynnössä. OPT:n läsnäolo pyynnössä tarkoittaa, että uudempi pyytäjä tietää, mitä tehdä vastauksessa olevan OPT:n kanssa.
OPT-pseudotietue tarjoaa tilaa jopa 16 lipulle ja laajentaa tilaa vastauskoodille. UDP-paketin kokonaiskoko ja versionumero (tällä hetkellä 0) sisältyvät OPT-merkintään. Vaihtuvapituinen tietokenttä mahdollistaa lisätietojen tallentamisen protokollan tuleviin versioihin. Alkuperäinen DNS-protokolla tarjosi kahden tyyppisiä tunnisteita, jotka määritellään DNS-pakettien kahdella ensimmäisellä bitillä (RFC 1035): 00 (vakionimike) ja 11 (pakattu nimiö). EDNS esittelee tarratyypin 01 laajennettuna tarrana. Ensimmäisen tavun alempia 6 bittiä voidaan käyttää jopa 63 uuden laajennetun nimiön määrittämiseen.
Esimerkki OPT-pseudotietueesta, jonka Domain Information Groper (dig) -apuohjelma näyttää:
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; UDP: 4096
Tulos "EDNS: versio: 0" osoittaa täydellistä yhteensopivuutta EDNS0:n kanssa [2] . "Flags: do":n tulos osoittaa, että "DNSSEC OK" on asetettu.
EDNS on välttämätön DNS-tietoturvalaajennusten (DNSSEC) toteuttamiseksi. EDNS:ää käytetään myös yleisten tietojen lähettämiseen ratkaisejilta nimipalvelimille asiakkaiden maantieteellisestä sijainnista EDNS Client Subnet (ECS) -vaihtoehtona.
On olemassa ehdotuksia EDNS:n käyttämiseksi määrittämään, kuinka paljon täyttöä DNS-sanoman ympärillä tulee olla, ja määrittämään, kuinka kauan TCP-yhteys tulee pitää toiminnassa.
Käytännössä EDNS-palomuureja voi olla vaikea käyttää, koska jotkin palomuurit hyväksyvät DNS-viestin maksimipituuden 512 tavua ja estävät pidemmät DNS-paketit.
EDNS:n käyttöönotto teki mahdolliseksi DNS-vahvistushyökkäyksen, eräänlaisen heijastuneen palvelunestohyökkäyksen, koska EDNS tarjoaa erittäin suuria vastauspaketteja verrattuna suhteellisen pieniin kyselypaketteihin.
IETF DNS Extensions (dnsext) -työryhmä on saanut päätökseen EDNS0-parannoksen, joka on julkaistu nimellä RFC 6891.