<div dir="ltr"><div>For me, the use case is "research". Of course I won't ask for <span style="font-family:arial,sans-serif;font-size:13px">ubiquitous dns service only for my research. </span></div><div><span style="font-family:arial,sans-serif;font-size:13px">I just notice there are people who are reluctant to close resolvers and this will leave more guns for attackers, so I think maybe there are middle points that some of them could stand, having less harmful open resolvers.</span></div>
<div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:13px">If there are no use cases other than research, I agree to close them all.</span></div>
<div><br></div>I also agree that openness should not be the default setting.<div><br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Mar 31, 2013 at 11:58 AM, Paul Vixie <span dir="ltr"><<a href="mailto:paul@redbarn.org" target="_blank">paul@redbarn.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><br>
<br>
Xun Fan wrote:<br>
> I want to emphasize here that my proposal is to use TCP only for<br>
> off-net users, for all users inside the same network as OR, they just<br>
> keep using UDP.<br>
<br>
</div>i've been following this thread. i have not yet seen a motive for<br>
offering ubiquitous wide area dns services, whether by udp or tcp. can<br>
you explain what positive outcome you predict for the 20+ million open<br>
resolvers that jared's scan found last weekend, if instead of simply<br>
closing them down and avoiding the creation of any new ones, we do as<br>
you suggest and upgrade them to return TC=1 under UDP and to respond<br>
normally to TCP?<br>
<br>
what in other words is your proposed use case for 20+ million open<br>
resolvers? if it's "to support research" then i'll agree with vernon who<br>
said that the benefit of research does not outshine the cost of<br>
maintaining such a ubiquitous service. (for example, since a TC=1 packet<br>
is still a packet even though smaller, it's a good reflection tool for<br>
attacks, even if non-amplifying. to make it safe at scale you'd have to<br>
implement something like RRL to also cut the number of responses. this<br>
is new state and new logic, whose cost has to be taken into account.)<br>
<div class="im"><br>
><br>
> As I said before, if there are millions off-net user, then the<br>
> administrator of the OR will make the judgement, probably won't close<br>
> their OR.<br>
<br>
</div>this sounds like a response to something that has not been proposed.<br>
noone is saying you can't run an OR if you want to, only that (a) if you<br>
run it you should monitor it as closely as google and opendns monitor<br>
theirs; and (b) openness should not be the default setting such that<br>
it's on even for users who do not explicitly want it to be on.<br>
<span class="HOEnZb"><font color="#888888"><br>
paul<br>
</font></span></blockquote></div><br></div>