<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 23, 2014 at 1:36 PM, Paul Vixie <span dir="ltr"><<a href="mailto:paul@redbarn.org" target="_blank">paul@redbarn.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">i encourage anyone who thinks full resolvers can run inside end hosts<br>
which currently run stub resolvers, to try it.<br>
<br>
BIND9 runs fine on windows and macos laptops. so, without even touching<br>
the real growth area of the edge (which is mobile devices like smart<br>
phones), you can get a sense of how rarely you'll be able to perform dns<br>
lookups, if you just switch to 127.0.0.1 as your name server (override<br>
this in your dhcp settings) and run a recursive dns server there.<br>
<br>
until you have done this and have results to report, you'd be wise not<br>
to make any claims about this possibility.<br>
<br>
(i've done this for over a decade, but, i always have a VPN open, which<br>
can use TCP/80 as a backup carriage path, and the VPN is absolutely<br>
necessary in my experience, and, that is a rather high bar for making<br>
localhost do dns recursion and iteration at scale.)<br></blockquote><div><br></div><div>I was running that for a couple of months.</div><div><br></div><div>It appeared to work fine but I dropped it as soon as I discovered that I was still getting Verizon sitefinder ads placed when I got NXDOMAIN. And the same happens on 8.8.8.8</div><div><br></div><div>Bottom line is that if you try to use port 53 for client-recursive you will find yourself under MITM attack much of the time. And its not even all malicious. A lot of ISPs are MITM the DNS traffic so they don't get one of the big TLDs onto their case for allowing their customers to do DDoS. </div><div><br></div><div> </div></div></div></div>