<html><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">
</head><body bgcolor="#FFFFFF" text="#000000"><br>
<br>
Fred Morris wrote:
<blockquote cite="mid:Pine.LNX.4.53.1303311209070.20798@flame.m3047.net"
 type="cite">
  <pre wrap="">On Sun, 31 Mar 2013, Jim Reid wrote:
</pre>
  <blockquote type="cite"><pre wrap="">Remember too that in these DDoS attacks truncated UDP responses would
still be going to spoofed addresses. So those victims still get hit,
albeit without the amplification factor of a chubby DNS response.
</pre></blockquote>
  <pre wrap=""><!---->
Yes. But there's no reason for them to abuse the DNS (no reason not to,
either) as they can send packets with spoofed source addresses directly at
the target. They're doing it anyway to direct them at the intermediate DNS
resource: but they could just cut the middleman out altogether and spoof a
fat DNS response from your nameserver, couldn't they? Or anything else.
Point is, since they spoof source addresses, they can spoof source
addresses; it's not even a tautalogy, it's identity.

They're doing it for the amplification.</pre>
</blockquote>
<pre wrap="">
</pre>
i mostly agree. however, reflection offers one other minor boon, which 
is a longer traceback path. that's why RRL attenuates both the packet 
size and packet count. the deal we're offering attackers is, you can 
reflect through here, but it'll cost you a lot more. we think the 
residual benefit of reflection is not worth the attacker's cost, if they
 have to send both more and larger packets than will be seen by the 
victim.<br>
<br>
paul<br>
</body></html>