
<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Mar 31, 2013 at 7:18 AM, Stephane Bortzmeyer <span dir="ltr"><<a href="mailto:bortzmeyer@nic.fr" target="_blank">bortzmeyer@nic.fr</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Sun, Mar 31, 2013 at 02:30:50AM -0700,<br>

 Xun Fan <<a href="mailto:xunfan@isi.edu">xunfan@isi.edu</a>> wrote<br>

<div class="im"> a message of 90 lines which said:<br>

<br>

> Instead of closing the open resolvers, can we just force queries<br>

> from external networks to use TCP?<br>

<br>

</div>A very good idea, IMHO.<br></blockquote><div><br></div><div>Thanks!</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im"><br>

> Say reply to queires from external networks with a short truncate<br>

> UDP to signal querier to turn to TCP?<br>

<br>

</div>Even better, allow only TCP from the beginning. This would completely<br>

suppress the amplification (that you still have with the truncated<br>

response).<br></blockquote><div><br></div><div>If we could control the size of truncated response (with truncate flag set to 1), then </div><div>this won't be a big problem.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<br>

As far as I know, no existing resolving software implements that so<br>

the only way to deploy this approach would be with instructing the<br>

firewall to block incoming UDP/53.<br></blockquote><div><br></div><div>Yes, not a existing implementation, so I want to hear from the community:</div><div>1) what are the potential problems about this solution?</div><div>

2) Is it worth implementing?</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im"><br>

> Rate limiting is coming but many people think it's better for<br>

> authoritative name servers.<br>

<br>

</div>Also, almost all the ORN are unmanaged machines, which will not deploy<br>

new mitigations, whether TCP or rate-limiting.<br>

<div class="im"><br>

> And as a internet measurement researcher, I also find the value of<br>

> open resolvers in some research projects that OR greatly extend our<br>

> view to the Internet.<br>

<br>

</div>Another solution for this use is the DNS looking glass<br>

<<a href="http://www.bortzmeyer.org/dns-lg.html" target="_blank">http://www.bortzmeyer.org/dns-lg.html</a>>.<br></blockquote><div><br></div><div>Yes, thanks! This is a great project that I am going to participate.</div>

<div> </div></div><br></div></div>