<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, May 30, 2014 at 1:30 AM, hua peng <span dir="ltr"><<a href="mailto:huapeng@arcor.de" target="_blank">huapeng@arcor.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


The people I know from a DNS service provider said, once they got 60Gbps<br>
of DDoS attack. I am just curious that for a common DNS cluster how can<br>
it defend that large a flood? Does this mean at least the provider's<br>
network bandwidth must be larger than 60Gbps? And then how the software<br>
handle this large amount of queries?<br></blockquote><div><br></div><div>Attacks of that size are starting to become commonplace via amplification as Roland mentions.  Your routers can filter them (assuming sufficient peering capacity) by rate limiting packets that are likely participating in such an attack (easy to distinguish by source-port and size).</div>


<div><br></div><div>There are also occasional direct (not amplified) attacks of that scale.  You can absorb them by using anycast to prevent the attack from overwhelming any single datacenter, then running a pool of machines in each location to handle local load.  Most attacks of that scale are using large packets, so the query rate is not as high as you might think (but it can still be quite high!).</div>


<div><br></div><div>Attacks at this scale are beyond the capabilities of most organizations, so you should always do your part to identify and dismantle the botnet infrastructure when possible.  Collecting a list of participating IPs and notifying their abuse contacts helps.</div>


<div><br></div><div>Damian</div></div></div></div>