<div><br></div>Do you need the content of the out-going message or is it good enough to know that a given ip is being sent more replies than it sent questions?<div><br><br><div class="gmail_quote">On Mon, Feb 11, 2013 at 12:59 PM, Paul Vixie <span dir="ltr"><<a href="mailto:paul@redbarn.org" target="_blank">paul@redbarn.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
nudge wrote:<br>
> ...<br>
<div class="im">> "Attacks that justify ignoring the contents of DNS responses are likely<br>
> to be attacks on the DNS server itself. They usually should be discarded<br>
> before the DNS server spends resources make TCP connections or parsing<br>
> DNS requesets, but that rate limiting must be done before the DNS server<br>
> sees the requests."<br>
><br>
> What precisely does this mean in the context of response rate limiting ?<br>
<br>
</div>if you have enough information at the firewall or gateway to be able to<br>
stop an attack merely by counting packets per source address, then the<br>
attacks you'll be stopping are against your name server, not the ones<br>
that merely use your name server as a reflecting amplifier to attack<br>
somebody else (whose IP source addresses are getting spoofed toward<br>
you.) correspondingly, if you want to stop reflection attacks from using<br>
you as an amplifier, you need information that a gateway or firewall<br>
won't have, such as the content of the prospective DNS response.<br>
<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
ratelimits mailing list<br>
<a href="mailto:ratelimits@lists.redbarn.org">ratelimits@lists.redbarn.org</a><br>
<a href="http://lists.redbarn.org/mailman/listinfo/ratelimits" target="_blank">http://lists.redbarn.org/mailman/listinfo/ratelimits</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Nullius addictus jurare in verba magistri.
</div>