Sorry, but IMHO the connectionless feature of DNS is becoming the major security vector to launch severe DDOS attack. <br><br>btw: what's the concrete scalability concern do you mean? I do not find any DNS requirements can not be fullfilled by web technology. Well, if you say you do not have such budget to upgrade the system, it's another story.<br><br>Davey<br><br/><div style="font-size:12px;padding:2px 0;">---Original---</div><div style="font-size:12px;background:#f0f0f0;color:#212121;padding:8px!important;border-radius:4px;line-height:1.5;"><div><b>From:</b> "Roland Dobbins"<rdobbins@arbor.net></div><div><b>Date:</b> 2015/08/25 20:00:23</div><div><b>To:</b> "dns-operations"<dns-operations@dns-oarc.net>;</div><div><b>Subject:</b> Re: [dns-operations] A dns-proxy for DNS over HTTP(s)</div></div><br/><br/>On 25 Aug 2015, at 18:36, Stephane Bortzmeyer wrote:<br/><br/>> Many high-profile sites host HTTP (and, now, HTTPS) services and have <br/>> the experience and the tools to fight dDoS attacks.<br/><br/>Actually, many high-profile organizations do this very poorly - <br/>surprisingly so.<br/><br/>And it's not just the high-profile organizations I'm worried about.<br/><br/>> To the contrary, there are more software and human resources to deal <br/>> with TCP services than with UDP ones.<br/><br/>Encryption complicates matters greatly, and DNS traffic/query patterns <br/>are quite different from Web.<br/><br/>Even without DDoS attacks, scalability is a concern.  Add DDoS attacks, <br/>and things get a whole lot more complicated and much less scalable.<br/><br/>-----------------------------------<br/>Roland Dobbins <rdobbins@arbor.net><br/>_______________________________________________<br/>dns-operations mailing list<br/>dns-operations@lists.dns-oarc.net<br/>https://lists.dns-oarc.net/mailman/listinfo/dns-operations<br/>dns-jobs mailing list<br/>https://lists.dns-oarc.net/mailman/listinfo/dns-jobs