This seems like a degenerate case to me...there is a threshold below which attacks<div>are no longer meaningful.  For most name servers I suspect that an attack is only</div><div>interesting at some rate well above 10's of qps. </div>
<div><br></div><div>As a name server operator not only am I not likely to see anything odd in an attack</div><div>like that, I really don't have the time or inclination to care about volumes in that</div><div>range.<br>
<br><div class="gmail_quote">On Wed, Sep 26, 2012 at 1:45 PM, Vernon Schryver <span dir="ltr"><<a href="mailto:vjs@rhyolite.com" target="_blank">vjs@rhyolite.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Monday I wrote:<br>
<br>
> I think the complaint is that DNS RRL with "slip 0" and the recommended<br>
> "responses-per-second 10" could send 10 DNS response/second to the<br>
> victim.<br>
<br>
That is not right because it is an unlikely worst case.  It is true<br>
that a reflection DoS attack of "responses-per-second" identical queries<br>
per second for a long time would not be filtered by DNS RRL.  However,<br>
as this section from the documentation tries to say, excess responses<br>
during one second suppress responses for subsequent "window" seconds:<br>
<br>
]    Rate limiting uses a "credit" or "token bucket" scheme. Each<br>
]    identical response has a conceptual account that is given<br>
]    responses-per-second, errors-per-second, and nxdomains-per-second<br>
]    credits every second. A DNS request triggering some desired<br>
]    response debits the account by one. Responses are not sent<br>
]    while the account is negative. The account cannot become more<br>
]    positive than the per-second limit or more negative than window<br>
]    times the per-second limit. A DNS client that sends requests<br>
]    that are not answered can penalized for up to window seconds<br>
]    (default 15).<br>
<br>
For example, given "slip 0; responses-per-second 10;" and an attack<br>
of at least 20 forged requests/second, DNS RRL will allow a total 10<br>
responses for the entire duration of the attack.  Those 10 responses<br>
will be for the first 10 requests.  The later requests will not be<br>
answered.<br>
<br>
Of course, an attacker could send 10 or fewer requests/second and have<br>
all of them answered.  That kind of attack is hard to handle because<br>
it can be undetectable by the reflecting DNS server.  For an extreme<br>
example, an attacker with a list of 1,000,000 open resolvers could<br>
send each open resolver one forged request every 10 seconds for<br>
<random>.<a href="http://isc.org" target="_blank">isc.org</a> and send the victim about 0.5 Gbit/sec.  None of the<br>
reflectors is likely to see anything odd about one stray NXDOMAIN every<br>
10 seconds.<br>
<br>
<br>
Vernon Schryver    <a href="mailto:vjs@rhyolite.com">vjs@rhyolite.com</a><br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations
dns-jobs" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations<br>
dns-jobs</a> mailing list<br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-jobs" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-jobs</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Glen Wiley<div><br><span style="font-family:arial,sans-serif;font-size:13px;border-collapse:collapse;color:rgb(34,34,34)">"A designer knows he has achieved perfection not when there is nothing left to add, but when there is nothing left to take away." - Antoine de Saint-Exupery</span></div>
<br>
</div>