<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 4 September 2016 at 00:42, Roland Dobbins <span dir="ltr"><<a href="mailto:rdobbins@arbor.net" target="_blank">rdobbins@arbor.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br></span><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I understand that RRL can help in the case of amplification directly off authoritative servers, but I've never seen an attacker do that (or perhaps<br>
just didn't notice).<br>
</blockquote>
<br></span>
I see it quite frequently.<br><br></blockquote><div>As someone who operates large authoritative infrastructures, I also see it quite frequently.   With RRL in place they are merely frequent attempts.</div><div><br></div><div>Prior to RRL these were very successful attacks against other infrastructures.  Occasionally I'd see an attacker find a good enough packet source, and a good enough query string, to get enough outbound traffic to damage my performance as well as the actual target.  These attacks used to be daily, and large.</div></div><br></div></div>