<div dir="ltr">... also, in many cases, the *auth* server is the one sending the packets, and they have to accept packets form everywhere (unless you wanted to make all recursive servers "register" somewhere, and then have auth servers download a list. This fails on many many fronts).<div><br></div><div>Attackers adapt - folk should deploy BCP38 / SAC004, it will cut down on much badness...</div><div><br></div><div>W</div><br><div class="gmail_quote"><div dir="ltr">On Tue, Dec 22, 2015 at 11:27 AM Joe Abley <<a href="mailto:jabley@hopcount.ca" target="_blank">jabley@hopcount.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Davey,<br>
<br>
On 20 Dec 2015, at 21:00, Song Linjian (Davey) wrote:<br>
<br>
> How about source validation on open resolvers themselves? which means<br>
> all open resolvers only serve it’s local users.<br>
<br>
I think a resolver that only serves its local users is not an open<br>
resolver.<br>
<br>
<br>
Joe<br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operationsdns-jobs" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations<br>
dns-jobs</a> mailing list<br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-jobs" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-jobs</a></blockquote></div></div>