On Wed, Mar 6, 2013 at 8:36 AM,  <span dir="ltr"><<a href="mailto:WBrown@e1b.org" target="_blank">WBrown@e1b.org</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I recently help close down an open recursive resolver.  It is still<br>
getting a lot of queries for <a href="http://isc.org/ANY" target="_blank">isc.org/ANY</a> which get a refused response<br>
(unless slipped/dropped by RRL).  Granted, this doesn't amplify the attack<br>
since REFUSED is a fairly small packet, but it is still traffic to the<br>
attacked site.<br>
<br></blockquote><div><br>Seems like a REFUSED response fits into its own RRL category.  Is there any reason why name servers wouldn't simply drop them if they exceed the configured RRL threshold--or even perhaps a lower threshold?<br>
<br>Casey<br></div></div>