<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Apr 2, 2024 at 12:20 PM Paul Hoffman <<a href="mailto:paul.hoffman@icann.org">paul.hoffman@icann.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Apr 2, 2024, at 08:42, Wes Hardaker <<a href="mailto:wjhns1@hardakers.net" target="_blank">wjhns1@hardakers.net</a>> wrote:<br>
<br>
> Do check/worry about DDoS reflections from UDP requests for DNSKEYs.<br>
<br>
Why? Of what value is worrying about this? From what you and John says, it's pretty clear that you can't do anything effective to remediate whatever it is they are doing. Recent DDoS stats indicate that redirected DNS over UDP is no longer a significant source in real-world attacks. Short of being fodder for yet another "UDP considered harmful" discussion, why even note this?<br></blockquote><div><br></div><div class="gmail_default" style="font-size:small">Agree with this sentiment. There are over 1 M unique name server IPs. There are probably many more resolver IPs seen by auths. The latter probably includes researchers, random probes and so on.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><div><div class="gmail_default">Limiting UDP responses to < 1500 bytes and truncating otherwise should be the response these days.</div></div></div><div class="gmail_default" style="font-size:small"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
--Paul Hoffman<br>
<br>
<br>
<br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div></div>