<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Sep 4, 2016 at 7:27 AM, Matthew Pounsett <span dir="ltr"><<a href="mailto:matt@conundrum.com" target="_blank">matt@conundrum.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span>On 4 September 2016 at 00:42, Roland Dobbins <span dir="ltr"><<a href="mailto:rdobbins@arbor.net" target="_blank">rdobbins@arbor.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span><br></span><span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I understand that RRL can help in the case of amplification directly off authoritative servers, but I've never seen an attacker do that (or perhaps<br>
just didn't notice).<br>
</blockquote>
<br></span>
I see it quite frequently.<br><br></blockquote></span><div>As someone who operates large authoritative infrastructures, I also see it quite frequently.   With RRL in place they are merely frequent attempts.</div><div><br></div><div>Prior to RRL these were very successful attacks against other infrastructures.  Occasionally I'd see an attacker find a good enough packet source, and a good enough query string, to get enough outbound traffic to damage my performance as well as the actual target.  These attacks used to be daily, and large.</div></div></div></div></blockquote><div><br></div><div>Thanks for the feedback... I'll start looking for these.  It's possible I haven't seen them since our authoritative servers aren't good amplification sources, and on the defense side we tend to not notice attacks unless they're quite large.</div><div><br></div><div>To help me know what to look for, can someone give a sense of what "large" means?  Not sure if you're thinking 1Mpps or 100Mpps here. ;)</div><div><br></div><div>Also, it sounds like you're suggesting they find a single authoritative server to amplify off of, rather than distributing their attack across hundreds/thousands of domains?  That seems likely to limit their peak bandwidth unless the authoritative server is operated by a major provider, which may be why I never noticed this method.</div><div><br></div><div>Damian</div></div></div></div>