所以坦率地说，我不知道这是一回事，也不知道这是为什么 - 但是一些谷歌福能够提供答案。以后请多做一些研究。

从 ServerFault 窃取部分响应： https ://serverfault.com/questions/587625/why-dns-through-udp-has-a-512-bytes-limit

1. 防火墙通常会对 DNS 数据包设置 512 字节的硬限制（这是可调整的）。根据 IP RFC ( https://www.rfc-editor.org/rfc/rfc791 )：

每个 Internet 目的地都必须能够接收 576 个八位字节的数据报，无论是整块还是要重新组装的片段。

由于 DNS 通常是 UDP（除了区域传输或 DNSSEC 是 TCP），因此无法确保交付。RFC 中的上述声明保证了主机能够处理响应大小。这相应地对应于 576 字节的最小可能 MTU。

2. 如上所述，如果您使用其他 DNS 功能（DNSSEC、EDNS 等），则可以。通常在这些情况下，您可以增加防火墙上的最大数据包大小。这是一个例子：http : //www.cisco.com/web/about/security/intelligence/dnssec.html