<div dir="ltr">A couple of days ago I received complaints from users that they could not open <a href="http://netaddress.com">netaddress.com</a> for their email. <div><br></div><div>The caching resolver would return SrvFail for the name. After digging through its cache I discovered the following entries:</div>
<div><br></div><div>------------------------------------------------------------------------</div><div>; glue</div><div><a href="http://netaddress.com">netaddress.com</a>.         36518   NS      <a href="http://ns1.51dns.com">ns1.51dns.com</a>.</div>
<div>                                      36518   NS      <a href="http://ns2.51dns.com">ns2.51dns.com</a>.</div><div><br></div><div>; glue</div><div><a href="http://ns1.51dns.com">ns1.51dns.com</a>.          86296   A       117.25.132.130</div>
<div>                        86296   A       117.25.132.162</div><div>                        86296   A       121.12.104.18</div><div>                        86296   A       121.12.104.19</div><div>                        86296   A       121.12.104.20</div>
<div>                        86296   A       121.12.104.21</div><div><br></div><div>; authanswer</div><div><a href="http://ns2.51dns.com">ns2.51dns.com</a>.          587     A       117.25.132.131</div><div>                        587     A       117.25.132.163</div>
<div>                        587     A       121.12.104.22</div><div>                        587     A       121.12.104.23</div><div>                        587     A       121.12.104.24</div><div>                        587     A       121.12.104.25 </div>
<div>----------------------------------------------------------------------<br><div><br></div><div>Digging for the answer manually from the top produced a different set of NS records, all under .<a href="http://usa.net">usa.net</a> which is what I expected.</div>
</div><div><br></div><div>This looks like a cache poisoning case, but what's strange is that none of the ns(1|2).<a href="http://51dns.com">51dns.com</a> IPs above are responding to dns queries. May be they are setup to just record queries.</div>
<div><br></div><div>Any ideas on how these bogus NS records might ended up being associated with <a href="http://netaddress.com">netaddress.com</a> in my cache?  </div><div><br></div><div>The version of bind is 9.7.0-P2-RedHat-9.7.0-10.P2.el5_8.3. After purging the name from cache the server went out and got the correct records and started answering again.</div>
<div><br></div><div>Thank you,</div><div>Slava</div><div><br></div></div>