
<html><head>

<meta content="text/html; charset=UTF-8" http-equiv="Content-Type">

</head><body bgcolor="#FFFFFF" text="#000000"><br>

<br>

<blockquote style="border: 0px none;" 

cite="mid:9A859FE3-5660-453A-8985-FA8AA3318BD3@conundrum.com" 

type="cite">

  <div style="margin:30px 25px 10px 25px;" class="__pbConvHr"><div 

style="display:table;width:100%;border-top:1px solid 

#EDEEF0;padding-top:5px">       <div 

style="display:table-cell;vertical-align:middle;padding-right:6px;"><img

 photoaddress="matt@conundrum.com" photoname="Matthew Pounsett" 

src="cid:part1.08020105.05080305@redbarn.org" 

name="compose-unknown-contact.jpg" height="25px" width="25px"></div>   <div

 

style="display:table-cell;white-space:nowrap;vertical-align:middle;width:100%">

        <a moz-do-not-send="true" href="mailto:matt@conundrum.com" 

style="color:#737F92 

!important;padding-right:6px;font-weight:bold;text-decoration:none 

!important;">Matthew Pounsett</a></div>   <div 

style="display:table-cell;white-space:nowrap;vertical-align:middle;">   

  <font color="#9FA2A5"><span style="padding-left:6px">Tuesday, February

 10, 2015 6:26 AM</span></font></div></div></div>

  <div style="color:#888888;margin-left:24px;margin-right:24px;" 

__pbrmquotes="true" class="__pbConvBody"><div><!----><br>This is 

Response Rate Limiting in action… they’re not explicitly limiting 

NXDOMAIN responses; they’re limiting identical responses.  If Bert’s 

server was asking for the same A record over and over that would get 

truncated and forced over to TCP as well.   It’s probably not only F, 

although I don’t think I’ve seen a comprehensive list of which root 

instances are running RRL.<br>

</div></div>

</blockquote>

<br>

nxdomain's are grouped together by DNS RRL according to SOA, so, for all

 unrecognized TLD's, there's one DNS RRL bucket for nxdomains for each 

IPv4 /24 and each IPv6 /48.<br>

<br>

as i wrote up-thread, i think 25/sec would be a better threshold for 

nxdomains on a root server running DNS RRL.<br>

<br>

to all: this is not a bug; see <a class="moz-txt-link-freetext" href="http://www.redbarn.org/dns/ratelimits">http://www.redbarn.org/dns/ratelimits</a>, 

and stop worrying about whether this "bug" means you should search for a

 way to add root zone content to your RDNS as a way to avoid rate 

limiting. rather, please throw your support behind query minimization, 

in which case, nonexistent TLD's would be cacheable in each RDNS (in 

negative form) and would prevent you from needing to forward other 

queries under those nonexistent TLD's to a root name server (the 

oft-called "random subdomain attack").<br>

<br>

there are good reasons to add autonomous local root name servers to your

 host or network. but this is not one of those reasons. again, this is 

not a bug, just a tuning matter.<br>

<br>

<div class="moz-signature">-- <br>Paul Vixie<br>

</div>

</body></html>