<div dir="ltr"><div dir="ltr"><div><div dir="rtl" class="gmail_signature"><div dir="ltr"><div style="text-align:right"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><span style="color:rgb(11,83,148)"><br></span></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div><br></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Mon, Feb 24, 2025 at 12:40 PM Stephane Bortzmeyer <<a href="mailto:bortzmeyer@nic.fr">bortzmeyer@nic.fr</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div><div>On Sun, Feb 23, 2025 at 02:25:02PM +0200,<br>
 Meir Kraushar via dns-operations <<a href="mailto:dns-operations@dns-oarc.net" target="_blank">dns-operations@dns-oarc.net</a>> wrote <br>
 a message of 135 lines which said:<br>
<br>
> The reply size of "dig sl any" is 5814 (!)<br>
</div></div></div></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>
Which is probably not so useful for reflection attacks since very few<br>
name servers will serve this size over UDP.</div></blockquote><div><span class="gmail_default" style="font-family:tahoma,sans-serif;color:rgb(7,55,99)"></span><div><div><span class="gmail_default" style="font-family:tahoma,sans-serif;color:rgb(7,55,99)">This dig query was just a simple example to show the size or response, t</span><span class="gmail_default" style="font-family:tahoma,sans-serif;color:rgb(7,55,99)">he actual manner is of course different. </span><span class="gmail_default" style="font-family:tahoma,sans-serif;color:rgb(7,55,99)"><br></span></div><div><span class="gmail_default" style="font-family:tahoma,sans-serif;color:rgb(7,55,99)">I do not know which servers allowed it, but t</span><span class="gmail_default" style="font-family:tahoma,sans-serif;color:rgb(7,55,99)">he fact is that the targeted victim saw on their network loads of fragmented UDP packets</span> <span class="gmail_default" style="font-family:tahoma,sans-serif;color:rgb(7,55,99)">, and when analyzing the content it led to .sl response.</span></div></div></div><div><span class="gmail_default" style="font-family:tahoma,sans-serif;color:rgb(7,55,99)"><br></span> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>
Note that <a href="http://oracle.com" rel="noreferrer" target="_blank">oracle.com</a> is 3458 just with TXT QNAME.<br>
</div></blockquote></div></div>