<div dir="ltr">Hi Stephane, thanks for setting up the TCP open reolver, I just tried, it works great!<div><br></div><div>I think for researchers, DNS looking glasses + TCP-only open resolvers would be enough. </div><div>The TC=1 hack I proposed is just a workaround for normal off-net users.</div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Apr 1, 2013 at 8:07 AM, Stephane Bortzmeyer <span dir="ltr"><<a href="mailto:bortzmeyer@nic.fr" target="_blank">bortzmeyer@nic.fr</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Sun, Mar 31, 2013 at 12:54:23PM -0400,<br>
 Paul Wouters <<a href="mailto:paul@nohats.ca">paul@nohats.ca</a>> wrote<br>
 a message of 34 lines which said:<br>
<br>
> Not true. unbound allows you to only accept clients using TCP.<br>
<br>
Ah, thanks, I should read the documentation more closely.<br>
<br>
OK, I've set up an open resolver (best effort only) with this<br>
configuration at 95.142.170.138 / 2001:4b98:dc0:47:216:3eff:fe1b:4672.<br>
Does anyone see a security issue with such TCP-only open resolvers?<br>
<br>
Xun Fan, do you think such TCP-only open resolvers, alone, or together<br>
with DNS looking glasses <<a href="http://www.bortzmeyer.org/dns-lg.html" target="_blank">http://www.bortzmeyer.org/dns-lg.html</a>> could<br>
be sufficient for researchers?<br>
<br>
<br>
<br>
</blockquote></div><br></div>