<html><head></head><body>Stephane, <br>
<br>
At BII we had to change source code on BIND and PowerDNS to test the behavior. (With PowerDNS it was a one line change because there was already an option to truncate all ANY queries.) :) <br>
<br>
We can send you some patches for testing if you want. <br>
<br>
Cheers, <br>
<br>
--<br>
Shane <br><br><div class="gmail_quote">Stephane Bortzmeyer <bortzmeyer@nic.fr> schreef op 18 oktober 2015 16:33:41 GMT+01:00:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<pre class="k9mail">I had issues with the domain <a href="http://kura.io">kura.io</a>, since the name servers always<br />reply with TC=0 (on IPv4; their IPv6 behaviour is more<br />common). According to the DNS hoster, Rage4, it is for "dDoS<br />protection" (I assume the goal is to make reflection attacks<br />impossible).<br /><br />It is the first time I meet this behaviour in the wild.<br /><br />Is it a good idea?<br /><br />If not, should testing programs like ZoneMaster<br /><<a href="https://zonemaster.fr">https://zonemaster.fr</a>/> flag such behaviour as risky?<br /><br />I can reproduce it with NSD (ipv4-edns-size: 60) but not with other<br />programs. Any idea how to do it with BIND or Knot (BIND has<br />max-udp-size but, apparently, it is capped to 512 bytes even if a<br />lower value is indicated, Knot has max-udp-payload but the server<br />refuses to start if it's too low "EDNS payload size is lower than 1220<br />bytes for DNSSEC zone")<br /><br /><hr /><br
/>dns-operations mailing list<br />dns-operations@lists.dns-oarc.net<br /><a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br />dns-jobs mailing list<br /><a href="https://lists.dns-oarc.net/mailman/listinfo/dns-jobs">https://lists.dns-oarc.net/mailman/listinfo/dns-jobs</a><br /><br /></pre></blockquote></div><br>
-- <br>
Sent from my Android device with K-9 Mail. Please excuse my brevity.</body></html>