<div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote">On Thu, Feb 6, 2014 at 2:37 PM, Paul Vixie <span dir="ltr"><<a href="mailto:paul@redbarn.org" target="_blank">paul@redbarn.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div style="font-family:tt;font-size:11pt" bgcolor="#FFFFFF" text="#000000"><div style="font-size:11pt;font-family:tt"><div class=""><blockquote type="cite"><div dir="ltr"><div><span style="color:rgb(51,51,51);font-family:Verdana,Arial,sans-serif;font-size:12px;line-height:15.807999610900879px">For
 example, if the authoritative provider <a href="http://www.example.com" target="_blank">www.example.com</a> were to implement RRL 
as you describe, then an attacker could spoof traffic purporting to be 
from Google Public DNS, OpenDNS, Comcast ... etc, and cause <a href="http://www.example.com" target="_blank">www.example.com</a>
 to be un-resolvable by users of those resolvers.  <br></span></div></div></blockquote><br></div>no.
 it just does not work that way.</div></div></blockquote><div><br></div><div>O.k., so say I spoof 10M UDP queries per second and 10M TCP SYNs per second purporting to be from OpenDNS's IP address. Does RRL  a)  Let the queries and SYNs go answered. Or b) Rate limit the responses? </div>
<div><br></div><div>If it's (a) RRL doesn't prevent the reflection. If it's (b) then you complete a denial of service attack against the OpenDNS users. </div><div><br></div><div>Which is it? or what's option (c)? </div>
</div><div><br></div>-- <br>Colm
</div></div>