<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Sep 7, 2016 at 9:47 PM, Paul Vixie <span dir="ltr"><<a href="mailto:paul@redbarn.org" target="_blank">paul@redbarn.org</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Damian Menscher wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
On Wed, Sep 7, 2016 at 1:23 AM, Paul Vixie <<a href="mailto:paul@redbarn.org" target="_blank">paul@redbarn.org</a><br></span>
<mailto:<a href="mailto:paul@redbarn.org" target="_blank">paul@redbarn.org</a>>> wrote:<br>
<br>
    <<a href="http://www.circleid.com/posts/20130913_on_the_time_value_of_security_features_in_dns/" rel="noreferrer" target="_blank">http://www.circleid.com/posts<wbr>/20130913_on_the_time_value_<wbr>of_security_features_in_dns/</a>>)<span class=""><br>
<br>
It's a fine claim, but is unrelated to the subject line of this thread,<br>
"DNS reflection useful without amplification?"  You're simply claiming<br>
amplification is useful for pps (as well as for bps), not that<br>
amplification is not needed.<br>
</span></blockquote>
<br>
i should turn in my keyboard and stop writing, maybe. how can i make clear that reflection is an adequate motive for an attacker, and that only attenuation, at both the packet level and the octet level, will discourage such attackers? where "discourage" means making them find other non-attenuating reflectors.</blockquote><div><br></div><div>Successful attacks rely on an asymmetry in the resources expended by the attacker and the defender.  This is accomplished via various mechanisms:</div><div>  - synfloods attempt to be stateless for the attacker but stateful for the victim</div><div>  - layer 7 attacks are cheap requests that require expensive processing for the backend</div><div>  - amplification attacks magnify the bps and pps available to the attacker by using third-party resources</div><div>  - botnets are another way to cheat (using someone else's resources)</div><div><br></div><div>As I said earlier in this thread, reflection without amplification is nearly indistinguishable from a direct (spoofed) attack.  I suppose you could argue that many attackers are too stupid to realize that?  But their attacks are unlikely to be successful, so I'm guessing they'd figure it out soon enough.</div><div><br></div><div>Damian</div></div></div></div>