<div dir="ltr"><div class="gmail_default" style="font-size:small">Hello,</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">While making our DNS response validation stricter, we have noticed that a number of name servers return badly truncated UDP responses. This sometimes happens with incorrect Answer section RR count.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">$ dig <a href="http://m.email.sonyentertainmentnetwork.com">m.email.sonyentertainmentnetwork.com</a>. TXT @<a href="http://e.ns.email.sonyentertainmentnetwork.com">e.ns.email.sonyentertainmentnetwork.com</a><br>;; Warning: Message parser reports malformed message packet.<br>;; Truncated, retrying in TCP mode.<br><br>; <<>> DiG 9.18.3-1+build1-Debian <<>> <a href="http://m.email.sonyentertainmentnetwork.com">m.email.sonyentertainmentnetwork.com</a>. TXT @<a href="http://e.ns.email.sonyentertainmentnetwork.com">e.ns.email.sonyentertainmentnetwork.com</a><br>;; global options: +cmd<br>;; Got answer:<br>;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24446<br>;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0<br>;; WARNING: recursion requested but not available<br><br>;; QUESTION SECTION:<br>;<a href="http://m.email.sonyentertainmentnetwork.com">m.email.sonyentertainmentnetwork.com</a>. IN TXT<br><br>;; ANSWER SECTION:<br><a href="http://m.email.sonyentertainmentnetwork.com">m.email.sonyentertainmentnetwork.com</a>. 3600 IN TXT "v=spf1 a mx ip4:<a href="http://63.236.31.220/31">63.236.31.220/31</a> ip4:<a href="http://8.30.201.100/31">8.30.201.100/31</a> ip4:63.236.84.160 ip4:8.30.201.16 ip4:4.22.42.19 ip4:<a href="http://4.22.42.20/30">4.22.42.20/30</a> ip4:4.2" "2.42.24/31 ip4:4.22.42.26 ip4:<a href="http://72.166.182.10/31">72.166.182.10/31</a> ip4:<a href="http://72.166.182.12/31">72.166.182.12/31</a> ip4:<a href="http://72.166.182.18/31">72.166.182.18/31</a> ip4:<a href="http://72.166.182.20/30">72.166.182.20/30</a> ip4:<a href="http://207.251.96.0/">207.251.96.0/</a>" "24 ip4:<a href="http://65.125.54.0/24">65.125.54.0/24</a> ip4:<a href="http://63.232.57.0/24">63.232.57.0/24</a> ip4:<a href="http://208.49.63.128/28">208.49.63.128/28</a> ip4:<a href="http://63.211.90.16/29">63.211.90.16/29</a> ip4:<a href="http://8.7.42.16/29">8.7.42.16/29</a> ip4:<a href="http://8.7.43.16/29">8.7.43.16/29</a> ip4:63.232." "236.144/29 ip4:<a href="http://8.7.44.144/29">8.7.44.144/29</a> ip4:<a href="http://63.236.31.128/26">63.236.31.128/26</a> ip4:<a href="http://63.236.76.0/23">63.236.76.0/23</a> ip4:<a href="http://8.30.201.0/26">8.30.201.0/26</a> ~all"<br><br>;; Query time: 4 msec<br>;; SERVER: 207.251.96.133#53(<a href="http://e.ns.email.sonyentertainmentnetwork.com">e.ns.email.sonyentertainmentnetwork.com</a>) (TCP)<br>;; WHEN: Fri Jul 29 16:57:51 EDT 2022<br>;; MSG SIZE  rcvd: 542<br><br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">While the affected operators are spread around the world, the similarity of the bad response across operators appears to suggest the DNS software may be from the same or closely related source. These servers do not respond to a version.bind query.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Have you seen similar bad responses? Do you have an idea of the provenance of this software?</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Thanks,</div><div class="gmail_default" style="font-size:small">Puneet</div><div class="gmail_default" style="font-size:small"><br></div></div>