<html><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">
</head><body bgcolor="#FFFFFF" text="#000000"><br>
<br>
Stephane Bortzmeyer wrote:
<blockquote cite="mid:20130916145632.GA3154@nic.fr" type="cite">
  <pre wrap="">On Fri, Sep 13, 2013 at 11:30:27AM -0700,
 Paul Vixie <a class="moz-txt-link-rfc2396E" href="mailto:vixie@fsi.io"><vixie@fsi.io></a> wrote 
 a message of 10 lines which said:

</pre>
  <blockquote type="cite"><pre wrap=""><a class="moz-txt-link-freetext" href="http://www.circleid.com/posts/20130913_on_the_time_value_of_security_features_in_dns/">http://www.circleid.com/posts/20130913_on_the_time_value_of_security_features_in_dns/</a>
</pre></blockquote>
  <pre wrap=""><!---->
See also the similar
<a class="moz-txt-link-rfc2396E" href="http://www.nlnetlabs.nl/blog/2013/09/16/rrl-slip-and-response-spoofing/"><http://www.nlnetlabs.nl/blog/2013/09/16/rrl-slip-and-response-spoofing/></a></pre>
</blockquote>
<pre wrap="">
</pre>
for the record, the nlnetlab blog article cited above leaves deliberate 
doubt as to whether slip=1 is safe in the specific case where dnssec is 
not in use. i think this is wrong in two ways.<br>
<br>
first, the question isn't just whether the zone has been signed, but 
also whether all important queriers are doing validation. that is, if 
dnssec is a get-out-of-"slip=2"-free card, then it's got to be measured 
end to end.<br>
<br>
second, dnssec doesn't matter. the risk of "slip=2" is so small compared
 to the risk of unattenuated packet reflection (even without 
amplification at the octet level) that noone shouldbe advised to 
consider "slip=1".<br>
<br>
slip=1 amounts to a self-DoS by the server operator against his own 
server, since it encourages real victims to depend solely on TCP which 
is way more fragile than UDP, and also bypasses the fundamental intent 
of an RRL-using operator by which i mean it fails to make the RRL-using 
server unattractive to bad guys.<br>
<br>
i won't be making either point in public unless the discussion continues
 in public.<br>
<br>
vixie<br>
</body></html>