<div dir="ltr">1:1 isn't a concern.  At that point the attacker could just hit the victim directly.<div><br></div><div>RRL applied at authoritative servers doesn't accomplish anything -- all amplification attacks reflect off recursive resolvers, not authoritative servers.</div><div><br></div><div>I do agree that blocking ANY doesn't achieve much (I've seen amplification via TXT and even A records), but think we're wasting time arguing blocking ANY vs deploying RRL vs minifying responses vs getting rid of open recursive resolvers.  The real answer is to insist transit providers perform traceback and filter their abusive customers.  It's just a matter of providing them the right incentives....</div><div><br></div><div>Damian</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Sep 3, 2016 at 10:59 AM, P Vixie <span dir="ltr"><<a href="mailto:paul@redbarn.org" target="_blank">paul@redbarn.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Yes! In fact 1:1 at the packet level is enough for effective ddos, even if it's attenuative at the octet level.<br>
<br>
This is why DNS RRL attenuates at both the packet and octet levels.<br>
<br>
The proponents of blocking ANY have not modeled the attackers' goals, nor their alternatives.<span class=""><br>
<br>
Blocking ANY is silly.<br>
<br>
Vixie<br><br></span><div class="gmail_quote"><span class="">On September 3, 2016 10:07:24 AM PDT, Roland Dobbins <<a href="mailto:rdobbins@arbor.net" target="_blank">rdobbins@arbor.net</a>> wrote:</span><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<pre class="m_-2437573354231570537k9mail"><span class=""><br>On 3 Sep 2016, at 23:30, Shane Kerr wrote:<br><br><blockquote class="gmail_quote" style="margin:0pt 0pt 1ex 0.8ex;border-left:1px solid #729fcf;padding-left:1ex"> Setting "minimal-responses" in BIND 9's named.conf should fix this.<br></blockquote><br>Paul's real point is that just about any (heh) DNS record can be used <br>for some degree of reflection/amplification.<br><br>A corollary is that most reflection/amplification attacks - in point of <br>fact, most DDoS attacks in general - are gratuitous examples of <br>overkill.  1:1 reflection alone would meet the obfuscatory needs of most <br>attackers and still get the job done conformant to requirements.<br><br></span><hr><br>Roland Dobbins <<a href="mailto:rdobbins@arbor.net" target="_blank">rdobbins@arbor.net</a>><span class=""><br><hr><br>dns-operations mailing list<br><a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.<wbr>net</a><br><a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" target="_blank">https://lists.dns-oarc.net/<wbr>mailman/listinfo/dns-<wbr>operations</a><br>dns-operations mailing list<br><a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" target="_blank">https://lists.dns-oarc.net/<wbr>mailman/listinfo/dns-<wbr>operations</a><br></span></pre></blockquote></div><br><span class="">
-- <br>
Sent from my Android device with K-9 Mail. Please excuse my brevity.</span></div><br>______________________________<wbr>_________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net">dns-operations@lists.dns-oarc.<wbr>net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations
dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/<wbr>mailman/listinfo/dns-<wbr>operations<br>
dns-operations</a> mailing list<br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/<wbr>mailman/listinfo/dns-<wbr>operations</a><br></blockquote></div><br></div>