
<div dir="ltr">Does this user realize that the "query-errors" category can be turned off, and they can use the "rate-limit" category to see what is being dropped/slipped, usually with far less log lines, just beginning and end like:<div>

<div>Jun 17 05:49:38 <servername> named[6978]: 17-Jun-2013 05:49:38.397 rate-limit: info: limit referral responses to <IP> for <domainname> IN  (058bfa16)</div><div>Jun 17 05:50:43 <servername> named[6978]: 17-Jun-2013 05:50:43.982 rate-limit: info: stop limiting referral responses to <IP> for <domainname> IN  (058bfa16)</div>

</div><div><br></div><div style>What would be missing then is the number of packets that were dropped or slipped, and the exact times of each packet, unless you are logging all queries and could correlate the logs.</div><div style>

If the "stop limiting" message could include a count of dropped and slipped packets, that would be great.  Is that feasible?</div><div style><br></div></div><div class="gmail_extra"><br clear="all"><div><br>-- <br>

Bob Harold<br>hostmaster, UMnet, ITcom<br>Information and Technology Services (ITS)<br><a href="mailto:rharolde@umich.edu" target="_blank">rharolde@umich.edu</a><br>734-647-6524 desk<br></div>

<br><br><div class="gmail_quote">On Wed, Jun 12, 2013 at 12:57 PM, Vernon Schryver <span dir="ltr"><<a href="mailto:vjs@rhyolite.com" target="_blank">vjs@rhyolite.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

> From: Phil Mayers <<a href="mailto:p.mayers@imperial.ac.uk">p.mayers@imperial.ac.uk</a>><br>

<div class="im"><br>

> > There should be no danger of the messages filling a disk if the channels<br>

> > that receive query-errors category messages have limits.  For example:<br>

><br>

> I think the problem here is that they're being sent over syslog, so the<br>

> bind limits don't apply?<br>

<br>

</div>Yes, the BIND logging file size limits do not affect messages sent to<br>

syslog.  However, the messages seem to me to have a BIND log file<br>

format instead of a syslog format.  The timestamp format differs from<br>

BSD syslog.  There is no hostname, process name, or process ID.<br>

<br>

I just now noticed that the messages are a mixture of "slip" and<br>

"drop" messages, and so are less similar than I thought.  That<br>

suggests that the familiar syslog message compression would not<br>

help if the messages were being sent to syslog.<br>

<br>

I also just now realized that the strings of astrisks (*) are obfuscations<br>

of IP addresses.  The fact that the "slip" and "drop" messages do not<br>

alternate suggests the IP addresses differ.  That suggests that the<br>

DNS reflection attack wa against a network instead of a host, that<br>

there were multiple concurrent attacks, or that the messages are<br>

pointing out possible problems that might be addressed by exempting<br>

some IP addresses from RRL with views or exempt-clients{}.<br>

<br>

<br>

Vernon Schryver    <a href="mailto:vjs@rhyolite.com">vjs@rhyolite.com</a><br>

<div class="HOEnZb"><div class="h5">_______________________________________________<br>

ratelimits mailing list<br>

<a href="mailto:ratelimits@lists.redbarn.org">ratelimits@lists.redbarn.org</a><br>

<a href="http://lists.redbarn.org/mailman/listinfo/ratelimits" target="_blank">http://lists.redbarn.org/mailman/listinfo/ratelimits</a><br>

</div></div></blockquote></div><br></div>