<div dir="ltr"><div dir="ltr">On Mon, Oct 7, 2019 at 9:08 AM Mike <<a href="mailto:mike-nanog@tiedyenetworks.com">mike-nanog@tiedyenetworks.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
    My dns TTL's are all 300 seconds, and I have noticed that once I<br>
update the A records with the new addresses, most (but not all) web<br>
clients begin using the new address within 5 minutes or so. However,<br>
there is a persistent set of stragglers who continue accessing the<br>
site(s) on their old addresses for far in excess of this - up to a week<br>
in fact. And, what I have noted, all of these clients have something in<br>
common - they all appear to be satellite users of viasat/exede.  This is<br>
based on whois lookups of the ip addresses of the clients. Note, I am<br>
NOT expecting 'turn on a time' - just looking for clients to refresh<br>
within a reasonable time.<br></blockquote><div><br></div><div>Hi Mike,</div><div><br></div><div>You may be looking at a web browser "feature" called "DNS pinning." This is used to defeat the "DNS rebinding" attack on javascript that would allow a web site to instruct a browser to scan the interior behind its user's firewall by having an attacker rotate the IP addresses used for Javascript's allowed server name.</div><div><br></div><div>Depending on the implementation, DNS pinned browsers may not recognize a change to your IP address until the browser is stopped and restarted.</div><div><br></div><div>Regards,</div><div>Bill Herrin</div></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>William Herrin</div><div><a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a></div><div><a href="https://bill.herrin.us/" target="_blank">https://bill.herrin.us/</a><br></div></div></div></div>