<html><head><meta http-equiv="Content-Type" content="text/html; charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">That's very selective cutting of my sentence Klaus....<br class=""><div><br class=""><blockquote type="cite" class=""><div class="">On 2 Apr 2020, at 13:09, Klaus Darilion <<a href="mailto:klaus.mailinglists@pernau.at" class="">klaus.mailinglists@pernau.at</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div class="">Am 02.04.2020 um 09:15 schrieb Frank Louwers:<br class=""><blockquote type="cite" class="">dnsdist allows you to do general ratelimiting/blocking<br class=""></blockquote><br class="">Ratelimiting is often not the correct choice.<br class=""><br class="">If the source IP is random (which is usually the case with spoofed source IP addresses), a rate limiting based on source IP is not useful.<br class=""><br class="">If the query-name is random (which is usually the case with spoofed source IP addresses), a rate limiting based on qname is not useful.<br class=""><br class="">If the qname is always the same, or at least within the same zone, you could do rate limiting for that zone, but this limits all queries, attack queries and legitim queries. Hence, you create a DoS for that zone, but at least avoid collateral damage to other zones hosted on that name server.<br class=""><br class="">So my advice: use a name server which can fill your upstream bandwith (NSD, Knot ...). And for volumetric attacks use a commercial DDoS mitigation provider which filters your traffic (ie. buy the service from your ISP or from a remote DDoS mitigation provider which announces your prefixes on demand.)<br class=""><br class="">regards<br class="">Klaus<br class=""><br class="">_______________________________________________<br class="">dns-operations mailing list<br class=""><a href="mailto:dns-operations@lists.dns-oarc.net" class="">dns-operations@lists.dns-oarc.net</a><br class=""><a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" class="">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br class=""></div></div></blockquote></div><br class=""></body></html>