On Wed, Mar 6, 2013 at 10:12 AM, Vernon Schryver <span dir="ltr"><<a href="mailto:vjs@rhyolite.com" target="_blank">vjs@rhyolite.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
> From: Casey Deccio <<a href="mailto:casey@deccio.net">casey@deccio.net</a>><br>
<br><div class="im"><br>
> Seems like a REFUSED response fits into its own RRL category.  Is there any<br>
> reason why name servers wouldn't simply drop them if they exceed the<br>
> configured RRL threshold--or even perhaps a lower threshold?<br>
<br>
</div>The current version of the BIND9 RRL implementation has the<br>
errors-per-second parameter.</blockquote><div><br>Thanks - I had forgotten about this parameter.<br> </div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
For documentation, follow the link labeled<br>
"Draft text for BIND9 Administrators Reference Manual (ARM) describing"<br>
on <a href="http://www.redbarn.org/dns/ratelimits" target="_blank">http://www.redbarn.org/dns/ratelimits</a><br>
The paragraph in that text describing "slip" concludes with:<br>
<br>
     A value of 0 does not "slip" or sends no rate limiting truncated<br>
     responses. Some error responses includinge REFUSED and SERVFAIL<br>
     cannot be replaced with truncated responses and are instead<br>
     leaked at the slip rate.</blockquote><div><br>Is there any benefit to a non-zero slip value for these responses?  Certainly they're not amplifying, but I understand the purpose of non-zero slip is to give legitimate clients some chance of response amid the large quantity of queries from spoofed clients.  REFUSED messages seem more like a courtesy in the interest of timely failure than anything else.  It seems unlikely that legitimate clients would be much affected by lack of response for REFUSED queries in the interest of eliminating noise.<br>
<br>Casey <br></div></div>