
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 16, 2015 at 9:16 PM, Michael Sinatra <span dir="ltr"><<a href="mailto:michael@brokendns.net" target="_blank">michael@brokendns.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>

<br>

On 03/16/15 18:07, Yunhong Gu wrote:<br>

><br>

><br>

> On Mon, Mar 16, 2015 at 8:50 PM, Michael Sinatra <<a href="mailto:michael@brokendns.net">michael@brokendns.net</a><br>

</span><span class="">> <mailto:<a href="mailto:michael@brokendns.net">michael@brokendns.net</a>>> wrote:<br>

><br>

>     On 3/16/15 4:15 PM, P Vixie wrote:<br>

>     ><br>

>     ><br>

</span><span class="">>     > On March 17, 2015 7:42:09 AM GMT+09:00, Michael Sinatra <<a href="mailto:michael@brokendns.net">michael@brokendns.net</a> <mailto:<a href="mailto:michael@brokendns.net">michael@brokendns.net</a>>> wrote:<br>

>     >><br>

>     >><br>

>     >> On 03/16/15 07:23, bert hubert wrote:<br>

>     >><br>

>     >>> Separately, I fail to see why we actually need to outlaw ANY queries<br>

>     >> when we<br>

>     >>> can happily TC=1 them.<br>

>     >><br>

>     >> If the public recursives also support TC=1 on all ANY queries, then<br>

>     >> this<br>

>     >> works.  If not, the issue arises where just-below-the-radar attacks are<br>

>     >> using many public recursives, in which case you're not stopping much.<br>

>     ><br>

>     > Michael, what attacks do you think we can stop by limiting ANY? Paul<br>

><br>

>     The attack that I have had to grapple with is this:<br>

><br>

>     * Someone sets up a bot to query public recursives (google, opendns,<br>

>     level3, etc.) for a particular domain whose ANY response is large.<br>

>     (This _usually_ means DNSSEC-signed.)<br>

><br>

>     * The query from each <client,domain,qtype> tuple is just barely slow<br>

>     enough not to trigger rate limiting from the public recursive service.<br>

><br>

>     * The backend of the public recursive service queries my authoritatives<br>

>     for some of the involved domains.  Suppose the response is just under<br>

>     the usual typical default EDNS0 buffer size of 4096.<br>

><br>

>     * These domains are DNSSEC-signed with NSEC3.  Many tools set the TTL of<br>

>     NSEC3PARAM to 0 when signing zones with NSEC3.  The NSEC3PARAM RR is<br>

>     part of the ANY response.<br>

><br>

><br>

> Sounds to me this is the root cause of the problem and ANY is the just a<br>

> scapegoat.<br>

<br>

</span>Giving NSEC3PARAM a positive TTL would prevent my headache, but it<br>

wouldn't help the victim of the attack, and would probably make it worse<br>

for the victim.<br></blockquote><div><br></div><div>The reason that this response can be used for an amplification attack is its size, not the ANY type. A responses with 200 A records can be used for the same purpose. The (even deeper) root cause is the use of UDP in DNS protocol. I just do not think banning ANY touches any of these fundamental issues.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<span class="HOEnZb"><font color="#888888"><br>

michael<br>

<br>

</font></span></blockquote></div><br></div></div>