<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Mar 31, 2013 at 7:18 AM, Stephane Bortzmeyer <span dir="ltr"><<a href="mailto:bortzmeyer@nic.fr" target="_blank">bortzmeyer@nic.fr</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Sun, Mar 31, 2013 at 02:30:50AM -0700,<br>
 Xun Fan <<a href="mailto:xunfan@isi.edu">xunfan@isi.edu</a>> wrote<br>
<div class="im"> a message of 90 lines which said:<br>
<br>
> Instead of closing the open resolvers, can we just force queries<br>
> from external networks to use TCP?<br>
<br>
</div>A very good idea, IMHO.<br></blockquote><div><br></div><div>Thanks!</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im"><br>
> Say reply to queires from external networks with a short truncate<br>
> UDP to signal querier to turn to TCP?<br>
<br>
</div>Even better, allow only TCP from the beginning. This would completely<br>
suppress the amplification (that you still have with the truncated<br>
response).<br></blockquote><div><br></div><div>If we could control the size of truncated response (with truncate flag set to 1), then </div><div>this won't be a big problem.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>
As far as I know, no existing resolving software implements that so<br>
the only way to deploy this approach would be with instructing the<br>
firewall to block incoming UDP/53.<br></blockquote><div><br></div><div>Yes, not a existing implementation, so I want to hear from the community:</div><div>1) what are the potential problems about this solution?</div><div>
2) Is it worth implementing?</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im"><br>
> Rate limiting is coming but many people think it's better for<br>
> authoritative name servers.<br>
<br>
</div>Also, almost all the ORN are unmanaged machines, which will not deploy<br>
new mitigations, whether TCP or rate-limiting.<br>
<div class="im"><br>
> And as a internet measurement researcher, I also find the value of<br>
> open resolvers in some research projects that OR greatly extend our<br>
> view to the Internet.<br>
<br>
</div>Another solution for this use is the DNS looking glass<br>
<<a href="http://www.bortzmeyer.org/dns-lg.html" target="_blank">http://www.bortzmeyer.org/dns-lg.html</a>>.<br></blockquote><div><br></div><div>Yes, thanks! This is a great project that I am going to participate.</div>
<div> </div></div><br></div></div>