<html><head><meta http-equiv="Content-Type" content="text/html; charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Hi Paul,<br class=""><div class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""></div></div></div></div></div><div><blockquote type="cite" class=""><div class="">On 17 May 2018, at 13:46, Paul Roberts <<a href="mailto:paul@callevanetworks.com" class="">paul@callevanetworks.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div id="divtagdefaultwrapper" dir="ltr" style="caret-color: rgb(0, 0, 0); font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-size: 12pt; font-family: Calibri, Helvetica, sans-serif;" class=""><div style="margin-top: 0px; margin-bottom: 0px;" class="">Good grief indeed!</div><div style="margin-top: 0px; margin-bottom: 0px;" class=""><br class=""></div><div style="margin-top: 0px; margin-bottom: 0px;" class="">I would love to implement 'fetches-per-zone' but we need to get them onto BIND 9.11 first, that's a few months away.</div><div style="margin-top: 0px; margin-bottom: 0px;" class=""><br class=""></div><div style="margin-top: 0px; margin-bottom: 0px;" class="">Unfortunately I can't just block this traffic else I'll have the security teams wanting to know why we are compromising their desktop security.</div><br class="">Even 'fetches-per-zone' is a bit contentious, if we are rate limiting and one of those queries happens to be for a malicious file which doesn't get quarantined (because we never got the actionable response code from Sophos) we'll be in big trouble.<div class=""><br class=""></div><div class="">So we are caught between a rock and a hard place. :-(<br class=""></div></div></div></blockquote><div><br class=""></div><div>Why not putting dnsdist in front of those BIND 9.8, and having it redirect DNS traffic at destination of Sophos to dedicated BIND servers?</div><div>And have the other, non Sophos DNS traffic, sent to the current BIND servers?</div><div><br class=""></div><div>Cheers,</div><div>Nico</div><div><br class=""></div><br class=""><blockquote type="cite" class=""><div class=""><div id="divtagdefaultwrapper" dir="ltr" style="caret-color: rgb(0, 0, 0); font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-size: 12pt; font-family: Calibri, Helvetica, sans-serif;" class=""><div class=""><div style="" class=""><hr tabindex="-1" style="display: inline-block; width: 886.890625px;" class=""><div id="divRplyFwdMsg" dir="ltr" class=""><font face="Calibri, sans-serif" style="font-size: 11pt;" class=""><b class="">From:</b><span class="Apple-converted-space"> </span>Tony Finch <<a href="mailto:dot@dotat.at" class="">dot@dotat.at</a>><br class=""><b class="">Sent:</b><span class="Apple-converted-space"> </span>17 May 2018 12:34<br class=""><b class="">To:</b><span class="Apple-converted-space"> </span>Paul Roberts<br class=""><b class="">Cc:</b><span class="Apple-converted-space"> </span><a href="mailto:bind-users@lists.isc.org" class="">bind-users@lists.isc.org</a><br class=""><b class="">Subject:</b><span class="Apple-converted-space"> </span>Re: BIND srtt algorithm not working as expected</font><div class=""> </div></div><div class="BodyFragment"><font size="2" class=""><span style="font-size: 11pt;" class=""><div class="PlainText">Paul Roberts <<a href="mailto:paul@callevanetworks.com" class="">paul@callevanetworks.com</a>> wrote:<br class=""><br class="">> After doing some more packet captures, it looks like a lot of the<br class="">> queries are related to Sophos live protection DNS lookups (lots of<br class="">> queries for <a href="http://sophosxl.net" class="">sophosxl.net</a>), so there are a lot of queries which don't get<br class="">> resolved.<br class=""><br class="">Good grief.<br class=""><br class="">There are a few things you might do to mitigate this idiocy:<br class=""><br class="">0. Block <a href="http://sophosxl.net" class="">sophosxl.net</a>. Your colleagues responsible for AV might not<br class="">   appreciate this :-)<br class=""><br class="">1. In BIND 9.11+ there are options `fetches-per-zone` and<br class="">   `fetches-per-server` for helping a resolver to cope with overloaded<br class="">   authoritative servers. When you are forwarding you'll have to rely on<br class="">   fetches-per-zone since fetches-per-server will throttle everything.<br class="">   I don't know how fetches-per-zone discovers zone cuts or how well that<br class="">   works in the forwarding case when your resolver is relying on an<br class="">   upstream to do the iteration.<br class=""><br class="">2. Set up sacrificial forwarding IP addresses. These can be additional<br class="">   addresses on your existing forwarders. Configure your resolvers to<br class="">   forward queries for <a href="http://sophosxl.net" class="">sophosxl.net</a> to the sacrificial addresses instead<br class="">   of the usual ones. Then BIND's address database entries used by most<br class="">   queries won't get polluted by the non-responding servers.<br class=""><br class="">You might profitably combine 1. and 2. to make the resolver eagerly drop<br class="">queries to the sacrificial forwarders.<br class=""><br class="">Tony.<br class="">--<span class="Apple-converted-space"> </span><br class="">f.anthony.n.finch  <<a href="mailto:dot@dotat.at" class="">dot@dotat.at</a>> <span class="Apple-converted-space"> </span><a href="http://dotat.at/" id="LPlnk504439" class="OWAAutoLink" previewremoved="true">http://dotat.at/</a><br class=""><br class="">the quest for freedom and justice can never end<br class=""></div></span></font></div></div></div></div><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">_______________________________________________</span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" class="">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list</span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">bind-users mailing list</span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class=""><a href="mailto:bind-users@lists.isc.org" class="">bind-users@lists.isc.org</a></span><br style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><span style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class=""><a href="https://lists.isc.org/mailman/listinfo/bind-users" class="">https://lists.isc.org/mailman/listinfo/bind-users</a></span></div></blockquote></div><br class=""></body></html>