<html><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">
</head><body bgcolor="#FFFFFF" text="#000000">...<br>
<br>
Matthijs Mekking wrote:
<blockquote cite="mid:52374564.70605@nlnetlabs.nl" type="cite">
  <pre wrap="">Hi Paul,

On 09/16/2013 06:12 PM, Paul Vixie wrote:

...
</pre>
  <blockquote type="cite"><pre wrap="">slip=1 amounts to a self-DoS by the server operator against his own
server, since it encourages real victims to depend solely on TCP which
is way more fragile than UDP, and also bypasses the fundamental intent
of an RRL-using operator by which i mean it fails to make the RRL-using
server unattractive to bad guys.
</pre></blockquote>
  <pre wrap=""><!---->
That is a nice additional consideration for people to take into account
when making a decision for the slip configuration, thanks. Though I
would like to see measurements of how much additional TCP traffic that
really triggers towards the authoritative name server.</pre>
</blockquote>
<br>
my point is that the attacker can easily cause tcp resource exhaustion 
at the server, simultaneous with their attack, thus slip=1 opens the 
door to a content denial attack simultaneous with the packet storm.<span
 style="font-family: monospace;"><br>
  <br>
vixie<br>
</span>
<blockquote cite="mid:52374564.70605@nlnetlabs.nl" type="cite">

</blockquote>
</body></html>