<div dir="ltr"><div dir="ltr"></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Mon, Feb 24, 2025 at 11:32 AM Petr Špaček <<a href="mailto:pspacek@isc.org">pspacek@isc.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 23. 02. 25 13:25, Meir Kraushar via dns-operations wrote:<br>
> Hi<br>
> The .sl ccTLD (Sierra Leone) is being used as an amplifier for <br>
> reflection attacks.<br>
> It looks like the domain is horribly misconfigured:<br>
> <br>
> 1) It has 4 keys:<br>
>      - Two KSK's each one *4096* in size<br>
>      - Two ZSK each 2048<br>
> 2) *ALL* keys are used to sign DNSKEY records, resulting in 4 DNSKEY RRSIG<br>
> 3) All other records are signed twice<br>
> 4) All algos are 7<br>
> 5) There is no DS in the root, this TLD is not DNSSEC validated<br>
> <br>
> As a result,<br>
> The reply size of "dig sl any" is 5814 (!)<br>
> Again, this is being used as an amplifier for reflection attacks <br>
> (victims referred to us for help).<br>
> If anyone knows someone there who can fix this?<br>
<br>
I agree sl TLD has _very_ unusual configuration, but their servers don't <br>
send ANY responses over UDP, so it should not be a problem by itself. I <br>
would think the problem is someone else's servers which are willing to <br>
send oversized UDP answers, ignoring not only <br>
<a href="https://www.dnsflagday.net/2020/" rel="noreferrer" target="_blank">https://www.dnsflagday.net/2020/</a> but also the very old 4096 byte <br>
'default' buffer size for EDNS0.<br>
<br>
-- <br>
Petr Špaček<br>
Internet Systems Consortium<br>
<br></blockquote><div><br></div><div style="font-family:tahoma,sans-serif;color:rgb(7,55,99)" class="gmail_default">Hi Petr, I suspect the same. If so, it seems like there is nothing to do? (combined with the fact that they do not respond) <br></div><div style="font-family:tahoma,sans-serif;color:rgb(7,55,99)" class="gmail_default"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div></div>