<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=utf-8">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7652.24">
<TITLE>Re: large organization nameservers sending icmp packets to dns servers.</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>Hi Donald,<BR>
<BR>
I'm not prepared to call it stupid, but you're right it can cause issues.<BR>
<BR>
-J<BR>
--------------------<BR>
Sent via BlackBerry<BR>
<BR>
----- Original Message -----<BR>
From: Donald Stahl <don@calis.blacksun.org><BR>
To: Jason J. W. Williams<BR>
Cc: Valdis.Kletnieks@vt.edu <Valdis.Kletnieks@vt.edu>; John Levine <johnl@iecc.com>; nanog@nanog.org <nanog@nanog.org><BR>
Sent: Tue Aug 07 12:14:11 2007<BR>
Subject: RE: large organization nameservers sending icmp packets to dns servers.<BR>
<BR>
> All things being equal (which they're usually not) you could use the ACK<BR>
> response time of the TCP handshake if they've got TCP DNS resolution<BR>
> available. Though again most don't for security reasons...<BR>
Then most are incredibly stupid.<BR>
<BR>
Several anti DoS utilities force unknown hosts to initiate a query via<BR>
TCP in order to be whitelisted. If the host can't perform a TCP query then<BR>
they get blacklisted.<BR>
<BR>
In addition, any UDP truncated response needs to be retried via TCP-<BR>
blocking it would cause a variety of problems.<BR>
<BR>
-Don<BR>
<BR>
!SIG:46b8b686156533728213125!<BR>
<BR>
</FONT>
</P>

</BODY>
</HTML>