<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri","sans-serif";}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Hi,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I’ve had reports that users in TWC are getting incorrect IPs back from their local resolvers. Both of the IPs below are proxy servers and sometimes redirect the user to dnsrsearch.com instead of bing.com.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">This might be a misconfig of a system that catches NXDOMAINs and provides “typo assistance”. Another interesting this in the TTL on the responses is huge.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Anyone seen something similar or have a contact in TWC that can help?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks!<o:p></o:p></p>
<p class="MsoNormal">Ashley<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">c:\src\ap>nslookup -debug -q=A <a href="http://www.bing.com">
www.bing.com</a>.<o:p></o:p></p>
<p class="MsoNormal">------------<o:p></o:p></p>
<p class="MsoNormal">Got answer:<o:p></o:p></p>
<p class="MsoNormal"> HEADER:<o:p></o:p></p>
<p class="MsoNormal"> opcode = QUERY, id = 1, rcode = NOERROR<o:p></o:p></p>
<p class="MsoNormal"> header flags: response, auth. answer, want recursion, recursion avail.<o:p></o:p></p>
<p class="MsoNormal"> questions = 1, answers = 1, authority records = 0, additional = 0<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> QUESTIONS:<o:p></o:p></p>
<p class="MsoNormal"> 1.1.168.192.in-addr.arpa, type = PTR, class = IN<o:p></o:p></p>
<p class="MsoNormal"> ANSWERS:<o:p></o:p></p>
<p class="MsoNormal"> -> 1.1.168.192.in-addr.arpa<o:p></o:p></p>
<p class="MsoNormal"> name = router.asus.com<o:p></o:p></p>
<p class="MsoNormal"> ttl = 0 (0 secs)<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">------------<o:p></o:p></p>
<p class="MsoNormal">Server: router.asus.com<o:p></o:p></p>
<p class="MsoNormal">Address: 192.168.1.1<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">------------<o:p></o:p></p>
<p class="MsoNormal">Got answer:<o:p></o:p></p>
<p class="MsoNormal"> HEADER:<o:p></o:p></p>
<p class="MsoNormal"> opcode = QUERY, id = 2, rcode = NOERROR<o:p></o:p></p>
<p class="MsoNormal"> header flags: response, want recursion, recursion avail.<o:p></o:p></p>
<p class="MsoNormal"> questions = 1, answers = 2, authority records = 0, additional = 0<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> QUESTIONS:<o:p></o:p></p>
<p class="MsoNormal"> <a href="http://www.bing.com">www.bing.com</a>, type = A, class = IN<o:p></o:p></p>
<p class="MsoNormal"> ANSWERS:<o:p></o:p></p>
<p class="MsoNormal"> -> <a href="http://www.bing.com">www.bing.com</a><o:p></o:p></p>
<p class="MsoNormal"> internet address = 76.79.152.20<o:p></o:p></p>
<p class="MsoNormal"> ttl = 42126785 (487 days 13 hours 53 mins 5 secs)<o:p></o:p></p>
<p class="MsoNormal"> -> <a href="http://www.bing.com">www.bing.com</a><o:p></o:p></p>
<p class="MsoNormal"> internet address = 198.105.241.134<o:p></o:p></p>
<p class="MsoNormal"> ttl = 42126785 (487 days 13 hours 53 mins 5 secs)<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">------------<o:p></o:p></p>
<p class="MsoNormal">Non-authoritative answer:<o:p></o:p></p>
<p class="MsoNormal">Name: <a href="http://www.bing.com">www.bing.com</a><o:p></o:p></p>
<p class="MsoNormal">Addresses: 76.79.152.20<o:p></o:p></p>
<p class="MsoNormal"> 198.105.241.134<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>