<div dir="ltr"><div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><br></div></div></div><div class="gmail_quote"><div dir="ltr">On Fri, Jun 15, 2018 at 6:44 AM Tony Finch <<a href="mailto:dot@dotat.at">dot@dotat.at</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I've got what appears to be some end-user devices sending _ta-4a5c<br>
queries. I'm tracking them down with:<br>
<br>
        tcpdump -s0 -n -p -i any -vvv -X dst port 53 and \<br>
                \( ip[0x28:4] == 0x085f7461 or ip6[0x3c:4] == 0x085f7461 \)<br>
<br>
This expression looks for DNS query names that start with an 8 character<br>
label beginning '_ta'. I thought this might be useful for others.<br>
<br>
Tony.<br>
-- <br>
f.anthony.n.finch  <<a href="mailto:dot@dotat.at" target="_blank">dot@dotat.at</a>>  <a href="http://dotat.at/" rel="noreferrer" target="_blank">http://dotat.at/</a><br>
Dover, Wight, Portland, Plymouth: West or southwest 3 or 4, increasing 5 or 6.<br>
Slight or moderate. Showers later. Moderate or good.<br>
_______________________________________________<br>
ksk-rollover mailing list<br>
<a href="mailto:ksk-rollover@icann.org" target="_blank">ksk-rollover@icann.org</a><br>
<a href="https://mm.icann.org/mailman/listinfo/ksk-rollover" rel="noreferrer" target="_blank">https://mm.icann.org/mailman/listinfo/ksk-rollover</a></blockquote><div><br></div><div><br></div><div><span style="background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">I am seeing queries for "</span><span class="gmail-t" style="text-decoration-style:initial;text-decoration-color:initial"><span class="gmail-t"><span class="gmail-t gmail-a"><span class="gmail-t">_<span class="gmail-t">ta</span></span></span>-<span class="gmail-t">4a5c</span></span>-<span class="gmail-t">4f66"</span></span><div style="text-decoration-style:initial;text-decoration-color:initial">Are those the 'correct' KSK's?</div><div><br></div>-- </div><div>Bob Harold</div><div> </div></div></div>