<html><body><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div>You can automate root-server NSID probing from your location with nsidenumerator, https://github.com/insomniacslk/nsidenumerator (spoiler alert, I'm the author).</div><div><br></div><hr id="zwchr" data-marker="__DIVIDER__"><div data-marker="__HEADERS__"><b>From: </b>"Costantino Andrea (Con)" <andrea.costantino@h3g.it><br><b>To: </b>"Stephane Bortzmeyer" <bortzmeyer@nic.fr><br><b>Cc: </b>"dns-operations" <dns-operations@dns-oarc.net><br><b>Sent: </b>Tuesday, October 24, 2017 8:35:53 PM<br><b>Subject: </b>Re: [dns-operations] R: dns-operationsI: IP change for b.root-servers.net not effective?<br></div><br><div data-marker="__QUOTED_TEXT__"><div dir="auto">I'm from AS 24608, IP range 62.13.160.0/19.
<div dir="auto">I'm the ISP... Unless one of my upstream is hijacking, noone is supposed to inject anything in my AS.</div>
<div dir="auto"><br>
</div>
<div dir="auto">Let me have dinner and I'll VPN to office (I'm on mobile now) and get nsid query response.</div>
<div dir="auto"><br>
</div>
<div dir="auto">Ciao,</div>
<div dir="auto">A.</div>
<div dir="auto"><br>
</div>
</div>
<div class="gmail_extra"><br>
<div class="gmail_quote">Il 24 ott 2017 8:41 PM, Stephane Bortzmeyer <bortzmeyer@nic.fr> ha scritto:<br>
<blockquote class="quote" style="margin: 0 0 0 .8ex; border-left: 1px #ccc solid; padding-left: 1ex;" data-mce-style="margin: 0 0 0 .8ex; border-left: 1px #ccc solid; padding-left: 1ex;">
<div><span size="2" data-mce-style="font-size: small;" style="font-size: small;"><span style="font-size: 10pt;" data-mce-style="font-size: 10pt;">
<div>On Tue, Oct 24, 2017 at 04:43:27PM +0000,<br>
 Costantino Andrea (Con) <andrea.costantino@h3g.it> wrote <br>
 a message of 291 lines which said:<br>
<br>
> Yes, I confirm..<br>
<br>
Don't forget that name servers, specially anycasted name servers, are<br>
often "shadowed" by rogue servers, when an ISP injects a route in its<br>
IGP.<br>
<br>
Using NSID (message from Wes Hardaker) is often a good heuristic to<br>
spot them, since the rogue server typically don't bother to send back<br>
a correct NSID response.<br>
<br>
For instance, RIPE Atlas probes 20778, 22780, 24749, 25652, 25669,<br>
25818, and 32947 all see an answer 192.228.79.201 when they query<br>
199.9.14.201 about b.root-servers.net's IPv4 address. In all these<br>
cases, the answer is not accompanied by a NSID, showing there is a<br>
rogue server (or a transparent DNS proxy redirecting to a resolver).<br>
<br>
Probes 17706, 29748, 30356, 31735, and 32895 see the correct answer<br>
but no NSID: rogue server, or middebox stripping NSID option.<br>
</div>
</span></span></div>
</blockquote>
</div>
<br>
</div>
<br>
<hr>
<span face="Arial" color="Gray" size="1" data-mce-style="color: gray; font-family: Arial; font-size: xx-small;" style="color: gray; font-family: Arial; font-size: xx-small;"><br>
CONFIDENTIAL: This E-mail and any attachment are confidential and may contain reserved information. If you are not one of the named recipients, please notify the sender immediately. Moreover, you should not disclose the contents to any other person, or should
 the information contained be used for any purpose or stored or copied in any form.<br>
</span>


<br>_______________________________________________<br>dns-operations mailing list<br>dns-operations@lists.dns-oarc.net<br>https://lists.dns-oarc.net/mailman/listinfo/dns-operations<br>dns-operations mailing list<br>https://lists.dns-oarc.net/mailman/listinfo/dns-operations<br></div></div></body></html>