<div dir="ltr">Hello<br><br>We updated on Monday from bind-9.16.6/8 to bind-9.16.15/16 on some<br>public-facing authoritative nameservers.  Since then, we are seeing<br>a build-up of inbound TCP connections to port 53 being left in<br>CLOSE_WAIT state indefinitely until named is restarted, or exhausting<br>the tcp-clients limit if not restarted.  Anyone else seeing similar?<br><br>Platform is 64bit ArchLinux 5.12.6-arch1-1.<br><br>This sort of thing (netstat -tn):<br><br>tcp        1      0 <a href="http://194.83.56.250:53">194.83.56.250:53</a>        <a href="http://40.113.98.76:13214">40.113.98.76:13214</a>      CLOSE_WAIT <br>tcp        1      0 <a href="http://194.83.56.250:53">194.83.56.250:53</a>        <a href="http://52.232.251.180:61357">52.232.251.180:61357</a>    CLOSE_WAIT <br>tcp        1      0 <a href="http://194.83.56.250:53">194.83.56.250:53</a>        <a href="http://137.116.220.118:11234">137.116.220.118:11234</a>   CLOSE_WAIT <br>tcp        1      0 <a href="http://194.83.56.250:53">194.83.56.250:53</a>        <a href="http://23.100.54.67:17825">23.100.54.67:17825</a>      CLOSE_WAIT <br>tcp        1      0 <a href="http://194.83.56.250:53">194.83.56.250:53</a>        <a href="http://94.245.94.142:12397">94.245.94.142:12397</a>     CLOSE_WAIT <br>etc etc etc<br><br>On cursory examination, all of the querying IPs appear to be registered<br>to Microsoft, may imply Windows resolvers, querying for large TXT records<br><div>without EDNS, eg the first above:</div><div><br>May 27 10:06:50 <a href="http://ns12.ja.net">ns12.ja.net</a> named[156930]: client @0x7f7b08033908 40.113.98.76#50868 (<a href="http://gbmc.ac.uk">gbmc.ac.uk</a>): query: <a href="http://gbmc.ac.uk">gbmc.ac.uk</a> IN TXT - (194.83.56.250)<br><br>May 27 10:06:50 <a href="http://ns12.ja.net">ns12.ja.net</a> named[156930]: client @0x7f7b0895b348 40.113.98.76#13214 (<a href="http://gbmc.ac.uk">gbmc.ac.uk</a>): query: <a href="http://gbmc.ac.uk">gbmc.ac.uk</a> IN TXT -T (194.83.56.250)<br><br><br>Regards,<br>Ronan Flood<br>(resurrecting an old bind-users subbed address for this, if it works!)<br><br><br></div></div>