<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Mar 18, 2016 at 1:25 PM, bert hubert <span dir="ltr"><<a href="mailto:bert.hubert@powerdns.com" target="_blank">bert.hubert@powerdns.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, Mar 18, 2016 at 08:20:04PM +0100, Florian Weimer wrote:<br>
> We have received a bug report that our stub resolver does not retry over<br>
> TCP when asked to do so by some Google DNS resolvers:<br>
><br>
>   <a href="https://bugzilla.redhat.com/show_bug.cgi?id=1319296" rel="noreferrer" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1319296</a><br>
><br>
> The reason is that we check for RA=0 first and treat the server as<br>
> unusable if the bit is cleared.  Only after that, we check the TC bit.<br>
<br>
</span>We ran into this glibc behaviour with dnsdist too and we adjusted. We did<br>
not think it right to make this 'your' problem. Even if glibc adjusts, it<br>
does nothing for users now or over the next year. So we now set RA=RD for<br>
TC=1 responses, so things work<br>
<br>
I would recommend that Google do the same since waiting for updated glibc to<br>
propagate is just too slow.<br></blockquote><div><br></div><div>Yup, we'll change this.  Thanks for the report and clear explanation of the problem and fix.</div><div><br></div><div>Damian</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On a philosophical note, the glibc position is defensible but since both<br>
Google DNS and dnsdist made the mistake of setting RA=RD *after* judging if<br>
the question merited a TC=0 response or not means it may be better to be<br>
'liberal in what you accept'.  Others might make the same mistake.<br>
<br>
The device/software that does the TC intervention is possibly not even in a<br>
position to *know* the proper valua of the RA bit without sending on the<br>
actual question, which does not help in reducing the load under DoS.<br>
<span class="HOEnZb"><font color="#888888"><br>
         Bert</font></span></blockquote></div></div></div>