
<div dir="ltr"><div>For me, the use case is "research". Of course I won't ask for <span style="font-family:arial,sans-serif;font-size:13px">ubiquitous dns service only for my research. </span></div><div><span style="font-family:arial,sans-serif;font-size:13px">I just notice there are people who are reluctant to close resolvers and this will leave more guns for attackers, so I think maybe there are middle points that some of them could stand, having less harmful open resolvers.</span></div>

<div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:13px">If there are no use cases other than research, I agree to close them all.</span></div>

<div><br></div>I also agree that openness should not be the default setting.<div><br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Mar 31, 2013 at 11:58 AM, Paul Vixie <span dir="ltr"><<a href="mailto:paul@redbarn.org" target="_blank">paul@redbarn.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><br>

<br>

Xun Fan wrote:<br>

> I want to emphasize here that my proposal is to use TCP only for<br>

> off-net users, for all users inside the same network as OR, they just<br>

> keep using UDP.<br>

<br>

</div>i've been following this thread. i have not yet seen a motive for<br>

offering ubiquitous wide area dns services, whether by udp or tcp. can<br>

you explain what positive outcome you predict for the 20+ million open<br>

resolvers that jared's scan found last weekend, if instead of simply<br>

closing them down and avoiding the creation of any new ones, we do as<br>

you suggest and upgrade them to return TC=1 under UDP and to respond<br>

normally to TCP?<br>

<br>

what in other words is your proposed use case for 20+ million open<br>

resolvers? if it's "to support research" then i'll agree with vernon who<br>

said that the benefit of research does not outshine the cost of<br>

maintaining such a ubiquitous service. (for example, since a TC=1 packet<br>

is still a packet even though smaller, it's a good reflection tool for<br>

attacks, even if non-amplifying. to make it safe at scale you'd have to<br>

implement something like RRL to also cut the number of responses. this<br>

is new state and new logic, whose cost has to be taken into account.)<br>

<div class="im"><br>

><br>

> As I said before, if there are millions off-net user, then the<br>

> administrator of the OR will make the judgement, probably won't close<br>

> their OR.<br>

<br>

</div>this sounds like a response to something that has not been proposed.<br>

noone is saying you can't run an OR if you want to, only that (a) if you<br>

run it you should monitor it as closely as google and opendns monitor<br>

theirs; and (b) openness should not be the default setting such that<br>

it's on even for users who do not explicitly want it to be on.<br>

<span class="HOEnZb"><font color="#888888"><br>

paul<br>

</font></span></blockquote></div><br></div>