<div dir="ltr">On Mon, Jun 15, 2015 at 1:29 PM, Darcy Kevin (FCA) <span dir="ltr"><<a href="mailto:kevin.darcy@fcagroup.com" target="_blank">kevin.darcy@fcagroup.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div link="blue" vlink="purple" lang="EN-US">
<div>
<p class="MsoNormal"><span style="font-size:11pt;font-family:"Calibri","sans-serif";color:rgb(0,32,96)">Right, we know how hints files are used, but I think you guys may be missing the underlying conundrum: why is named querying the NS records of the root zone
 more often than the TTL of that RRset? See that there is a “NS? .” query at </span>
<span style="font-size:11pt;font-family:"Calibri","sans-serif";color:rgb(0,32,96)">15:36:44 and then another one at 15:45:52. At 15:45:52 it should have answered its client from the data it cached from the answer to the 15:36:44 query (less than 10 minutes previous).<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:"Calibri","sans-serif";color:rgb(0,32,96)"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:"Calibri","sans-serif";color:rgb(0,32,96)">Is named not seeing a response from the root servers in question? Is the max-cache-ttl being capped at a ridiculously-small value?<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:"Calibri","sans-serif";color:rgb(0,32,96)"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:"Calibri","sans-serif";color:rgb(0,32,96)">The NS queries of other names besides “.” itself are red herrings. They are all unique names – dot-terminated octet strings, names in the “.mr” TLD, “comp-HP.”
 -- and we wouldn’t expect them to have been cached previously. But an answer to “NS? .” should be cached for *<b>days</b>*, not just a few minutes.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:"Calibri","sans-serif";color:rgb(0,32,96)"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:"Calibri","sans-serif";color:rgb(0,32,96)">I’m speculating that this might not be a pure “caching DNS server” after all; it might be a forwarder with “forward first” defined. In that case, if the forwarding
 path experiences occasional delays, then named will fail over to trying iterative resolution, and if the routing and/or firewall rules were never set up to allow that, then the symptoms would be as documented, since named would never get a response from the
 root servers. General rule: use “forward only” if you must use forwarders *<b>exclusively</b>*; “forward first” is only for *<b>opportunistic</b>* forwarding, where you still have the ability to fall back to iterative resolution, if and when necessary. (Personally,
 I’m not much of a fan of “forward first”, since it rarely if ever produces the performance benefit expected, or, even if it lowers the
<b>average </b>query latency, it does so at the expense of the <b>worst-case</b> latency -- cache miss plus slow authoritative nameservers and/or misconfigured delegations -- and it’s worst-case that causes apps to time out, to break, and ultimately, users
 to show up bearing pitchforks and burning oil).<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:"Calibri","sans-serif";color:rgb(0,32,96)"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:"Calibri","sans-serif";color:rgb(0,32,96)">                                                                                                                                                               
 - Kevin</span></p></div></div></blockquote><div><br></div><div>There is more to than TTL expiry involved. TTL on the root is pretty long (60 days). There are also the regular and far more frequent checks for fastest response. These are performed according to an algorithm in BIND that I have not seen documented. It i possible that these queries are responsible, especially as queries are going out to multiple root servers.<br><br></div><div>That said, I admit that I see a real possibility that Kevin is right. I also dislike "forward first".<br></div><div><br></div><div>Since I am retired, I no longer manage a BIND server, so I have no logs to check on the behavior of "my" server. It would be interesting to see any documentation on the algorithm used to detect the "closest" root server as well as the log of someone else running a similar setup.<br>--<br clear="all">Kevin Oberman, Network Engineer, Retired<br>E-mail: <a href="mailto:rkoberman@gmail.com" target="_blank">rkoberman@gmail.com</a><br></div><div><br><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div link="blue" vlink="purple" lang="EN-US"><div><div><div>
</div>
<div>
<div>
<div><div><div class="h5">
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-size:10pt;font-family:"Arial","sans-serif";color:black">On Monday, June 15, 2015 6:14 AM, Gaurav Kansal <<a href="mailto:gaurav.kansal@nic.in" target="_blank">gaurav.kansal@nic.in</a>> wrote:</span><span style="font-family:"Helvetica","sans-serif";color:black"><u></u><u></u></span></p>
</div>
<p class="MsoNormal" style="margin-bottom:12pt;background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black"><u></u> <u></u></span></p>
</div></div><div><div><div class="h5">
<div>
<div>
<div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">Dear Team,<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black"> <u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">My caching DNS server is generating log of . NS queries to ROOT Servers.
<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">I have a hint file in my bind configuration and the same is up-to date.<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black"> <u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">The same behavior is occurring in multiple versions of BIND (tested on 9.7, 9.9 and on 9.10).<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black"> <u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">It must be for some purpose (may be BIND doesn’t trust hint file and cross check it from root servers).<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">Can anyone put some light on this.<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black"> <u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black"> <u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><u><span style="font-family:"Helvetica","sans-serif";color:black">Sample tcpdump output :-</span></u><span style="font-family:"Helvetica","sans-serif";color:black"><u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">15:36:42.440831 IP anydnsmby.27938 > k.root-servers.net.domain:  38907 [1au] NS? . (28)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">15:36:43.241203 IP anydnsmby.52261 > f.root-servers.net.domain:  3841 [1au] NS? . (28)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">15:36:43.624041 IP anydnsmby.48889 > k.root-servers.net.domain:  6314 [1au] NS? . (28)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">15:36:44.424047 IP anydnsmby.65507 > c.root-servers.net.domain:  27973 [1au] NS? . (28)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">15:37:42.071574 IP anydnsmby.38958 > i.root-servers.net.domain:  53519 [1au] NS? 117.240.177.150. (44)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">15:40:11.121122 IP anydnsmby.7941 > i.root-servers.net.domain:  62400 [1au] NS? <a href="http://1.mr" target="_blank">1.mr</a>. (33)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">15:45:52.780062 IP anydnsmby.49432 > e.root-servers.net.domain:  54241+ [1au] NS? . (28)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">15:45:59.341780 IP anydnsmby.34368 > e.root-servers.net.domain:  55928+ [1au] NS? . (28)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">15:46:04.487088 IP anydnsmby.35621 > e.root-servers.net.domain:  7266+ [1au] NS? . (28)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">15:46:35.453029 IP anydnsmby.62875 > i.root-servers.net.domain:  4129 [1au] NS? comp-HP. (36)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">16:16:13.747955 IP anydnsmby.39690 > a.root-servers.net.domain:  8774+ [1au] NS? . (28)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">16:16:20.845363 IP anydnsmby.36994 > e.root-servers.net.domain:  63433+ [1au] NS? . (28)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">16:16:36.746049 IP anydnsmby.42878 > a.root-servers.net.domain:  48439+ [1au] NS? . (28)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">16:16:42.060534 IP anydnsmby.41018 > j.root-servers.net.domain:  5347+ [1au] NS? . (28)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">16:16:49.081649 IP anydnsmby.53661 > e.root-servers.net.domain:  54768+ [1au] NS? . (28)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">16:51:14.034065 IP anydnsmby.38025 > k.root-servers.net.domain:  52771 [1au] NS? 116.73.202.141. (43)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">16:51:14.835539 IP anydnsmby.19616 > i.root-servers.net.domain:  14926 [1au] NS? 116.73.202.141. (43)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">17:25:16.706395 IP anydnsmby.58045 > i.root-servers.net.domain:  30880 [1au] NS? <a href="http://2.mr" target="_blank">2.mr</a>. (33)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">17:25:16.707072 IP anydnsmby.38495 > i.root-servers.net.domain:  43451 [1au] NS? <a href="http://6.mr" target="_blank">6.mr</a>. (33)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">17:25:16.707989 IP anydnsmby.35834 > i.root-servers.net.domain:  61843 [1au] NS? <a href="http://3.mr" target="_blank">3.mr</a>. (33)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">17:56:44.855060 IP anydnsmby.61903 > a.root-servers.net.domain:  23284 [1au] NS? 172.192.168.2. (42)<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black"> <u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">Regards,<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal" style="background:white none repeat scroll 0% 0%"><span style="font-family:"Helvetica","sans-serif";color:black">Gaurav Kansal<u></u><u></u></span></p>
</div>
</div>
</div>
</div>
</div></div></div></div></div></div></div></div></div></blockquote></div>--<br clear="all">Kevin Oberman, Network Engineer, Retired<br>E-mail: <a href="mailto:rkoberman@gmail.com" target="_blank">rkoberman@gmail.com</a></div></div>