<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Nov 20, 2017 at 3:47 AM, Florian Weimer <span dir="ltr"><<a href="mailto:fweimer@redhat.com" target="_blank">fweimer@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On 11/18/2017 09:11 AM, Damian Menscher wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Your argument that you don't trust the ISPs between you and<br>
Google/OpenDNS/Quad9, and therefore run your own local recursive resolver,<br>
confuses me.  After all, your local recursive needs to query third-party<br>
authoritative servers anyway.<br>
<br>
To convince yourself, answer these two questions:<br>
   - How many ISPs are between you and 8.8.8.8?  I'm on Comcast, and they<br>
have direct peering with Google, so the number is zero.<br>
</blockquote>
<br></span>
8.8.8.8 is increasingly seen as an anycast service address for DNS unrelated to Google, similar to how you download the SSH keys for root login from 169.254.169.254 or instance-data.  I expect that many ISPs route 8.8.8.8 to their own servers.<br></blockquote><div><br></div><div>Unlike 169.254/16 which is defined by RFC to be link-local, <a href="http://8.8.8.0/24">8.8.8.0/24</a> has been allocated to Google.</div><div><br></div><div>If you identify instances of BGP hijacking please report either privately to the victim (Google in your example) or publicly to the nanog mailing list, so corrective action can be taken.</div><div><br></div><div>Damian</div></div></div></div>