<html><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">
</head><body bgcolor="#FFFFFF" text="#000000"><br>
<br>
Dobbins, Roland wrote:
<blockquote cite="mid:63486D0B-8197-4F72-990B-7C30B7547DF4@arbor.net" 
type="cite">
  <pre wrap="">On May 31, 2013, at 10:16 PM, Joe Abley wrote:

</pre>
  <blockquote type="cite"><pre wrap="">(DNSCrypt and DNSSEC do different things)
</pre></blockquote>
  <pre wrap=""><!---->
Yes, except that DNS-over-TCP helps reduce the risk of MITM, which is a perceived channel-validation benefit of DNSSEC.</pre>
</blockquote>
<pre wrap="">
</pre>
let's have a war game, ok? you set up an authority server and we'll make
 a distributed set of recursive servers that pound the hell out of that 
authority server in the usual unhealthy-but-apparently-necessary ways 
that recursive servers pound the hell out of authority servers. we'll 
figure out a way to run the system at equilibrium and we'll note what 
"equilibrium" is.<br>
<br>
then you turn off udp and force that load to use tcp.<br>
<br>
then i'll come in from the side and wreck your ability to answer 
reliably using tcp.<br>
<br>
then you can hack your server any way you want that doesn't expressly 
violate RFC 1035 4.2.2.<br>
<br>
then we'll see what the final new equilibrium is.<br>
<br>
and then, i predict, people everywhere will stop saying "udp/53 is 
crazy, let's all switch to tcp/53".<br>
<br>
paul<br>
</body></html>