<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr">On Mon, Jan 28, 2019, 8:41 AM Philip Homburg <<a href="mailto:philip.homburg@ripe.net">philip.homburg@ripe.net</a> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2019/01/28 14:33 , Rami Al-Dalky wrote:<br>
> When I tried to create a DNS measurement, I found that the only way to<br>
> send DNS query with option is to set default_client_subnet to True.<br>
> However, by setting this option, a DNS query will be sent with <a href="http://0.0.0.0/0" rel="noreferrer noreferrer" target="_blank">0.0.0.0/0</a><br>
> <<a href="http://0.0.0.0/0" rel="noreferrer noreferrer" target="_blank">http://0.0.0.0/0</a>> as client subnet. <br>
> <br>
> Is there a reason why ECS is implemented that way? If it for privacy<br>
> issue, the RFC recommends to sent the client IP with /24 prefix for IPv4<br>
> and /56 for IPv6 to preserve the privacy.<br>
<br>
Let me point out that we chose <a href="http://0.0.0.0/0" rel="noreferrer noreferrer" target="_blank">0.0.0.0/0</a> to avoid all privacy issues.<br>
The recommendation just reduces privacy issues.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Right. However, recursive resolvers already have access to end-user IP address and there is no evidence whether or not they preserve the privacy of those queries (by sharing them with third party). If we talk about preserve the end-user privacy from Auth. DNS, those clients will eventually contact the content server (for instance, HTTP server) which would have access to the end-user IP. So there an arguement that someone can make.</div><div dir="auto"><br></div><div dir="auto">If we talk about the privacy of the probes, I can't see how sending the probe's /24 would violate the privacy of the probes (anyone can harvest the public IP addresses of the probes).</div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
At the same time, it was not clear to us what additional benefit it<br>
would bring to RIPE Atlas measurements to include longer prefixes. In<br>
particular, we assumed that the main purpose of this option would be to<br>
measure interference by firewalls or other middle boxes.</blockquote></div></div><div dir="auto"><br></div><div dir="auto">One could study the behavior of different components in DNS ecosystem (for instance, recursive resolvers or Auth. DNS) with this option.</div><div dir="auto"></div></div>