<div dir="ltr">While I agree that request limiting should be done ahead of the DNS server if possible, in the particular case where one wants to limit the rate at which a given client can cause the DNS server to do recursion, which is only decided after the local cache is checked, it cannot be done outside of the DNS server.  I am not sure if I would use that particular limit, but someone might.<div>
<br></div></div><div class="gmail_extra"><br clear="all"><div><br>-- <br>Bob Harold<br>hostmaster, UMnet, ITcom<br>Information and Technology Services (ITS)<br><a href="mailto:rharolde@umich.edu" target="_blank">rharolde@umich.edu</a><br>
734-647-6524 desk<br></div>
<br><br><div class="gmail_quote">On Fri, May 10, 2013 at 1:15 PM, Paul Vixie <span dir="ltr"><<a href="mailto:paul@redbarn.org" target="_blank">paul@redbarn.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
...<br>
<div class="im"><br>
Vernon Schryver wrote:<br>
> Bob Harold and I have talked in private, and he suggested that our<br>
> conclusions belong in the mailing list.<br>
><br>
> An open issue is mentioned at the end.<br>
</div>> ...<br>
<div class="im">> } The current code considers rate limiting each request only once.<br>
> } That makes sense for an autoritative server, but might be a bug<br>
> } on a recursive server.  Perhaps a recursive server should count<br>
> } a request once if it provokes one or more recursive requests and<br>
> } a separately, a second time when it produces a response.<br>
> } I need to think about it and talk to others.<br>
><br>
> Opinions about that last paragraph are needed.<br>
<br>
</div>ideally it would only be counted at response time, no matter how much<br>
upstream iteration was provoked. anything we do at query reception time<br>
before upstream iteration occurs would at best "request rate limiting"<br>
which this is not. request rate limiting is best done upstream, in a<br>
firewall or IPS box, and need not be dns-aware in order to be fully safe<br>
and fully effective. the goal of request rate limiting would be to<br>
protect the responding name server's "transaction thread pool" or cpu,<br>
whereas the goal of response rate limiting is to protect distant victims<br>
of spoofed-source reflective attacks.<br>
<span class="HOEnZb"><font color="#888888"><br>
paul<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
ratelimits mailing list<br>
<a href="mailto:ratelimits@lists.redbarn.org">ratelimits@lists.redbarn.org</a><br>
<a href="http://lists.redbarn.org/mailman/listinfo/ratelimits" target="_blank">http://lists.redbarn.org/mailman/listinfo/ratelimits</a><br>
</div></div></blockquote></div><br></div>