Poor guys over at go daddy might need some of this help.<div><br></div><div><a href="http://news.cnet.com/8301-1009_3-57509753-83/go-daddy-serviced-web-sites-go-down-hacker-takes-credit/">http://news.cnet.com/8301-1009_3-57509753-83/go-daddy-serviced-web-sites-go-down-hacker-takes-credit/</a> </div>
<div><br></div><div><br><div class="gmail_quote">On Tue, Sep 11, 2012 at 12:42 PM, Mark Tees <span dir="ltr"><<a href="mailto:marktees@gmail.com" target="_blank">marktees@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
The main scenario i was curious about was in the case of a DDOS attack with a traffic volume larger than the targets pipe could handle. In which case it would need to be handled upstream. I was curious about the finger printing techniques used in devices like the Arbor gear.<br>

<br>
Separating recursive and authoritative server is something i will pretty much always do.<br>
<div class="HOEnZb"><div class="h5"><br>
On 11/09/2012, at 12:10 PM, Aqius wrote:<br>
<br>
> Hi Mark,<br>
><br>
> At a basic level, I treat DNS DDoS attacks the same as a Synfloods (albeit<br>
> based on UDP and/or TCP vs TCP only)... IE: Ideally a network based firewall<br>
> with a high and low watermark... dropping excessive individual IP's, and<br>
> also dropping requests over whatever your host based resources are able to<br>
> cope with.<br>
><br>
> This kind of stuff is pretty standard these days, along with DNS inspection<br>
> that ensures the traffic abides by the protocol guidelines. Couple that with<br>
> a blacklist and something host based (such as<br>
> <a href="http://freecode.com/projects/dnsflood" target="_blank">http://freecode.com/projects/dnsflood</a>) and I've rarely had problems I<br>
> couldn't deal with.<br>
><br>
><br>
> -----Original Message-----<br>
> From: <a href="mailto:ausnog-bounces@lists.ausnog.net">ausnog-bounces@lists.ausnog.net</a><br>
> [mailto:<a href="mailto:ausnog-bounces@lists.ausnog.net">ausnog-bounces@lists.ausnog.net</a>] On Behalf Of Mark Tees<br>
> Sent: Tuesday, 11 September 2012 11:46<br>
> To: <a href="mailto:ausnog@ausnog.net">ausnog@ausnog.net</a><br>
> Subject: [AusNOG] Attacks against DNS servers...<br>
><br>
> Morning Noggers,<br>
><br>
> I am curious about what filtering could be done in a distributed attack<br>
> scenario against authoritative DNS servers.  Assuming attack traffic is<br>
> coming in the form of requests that look legitimate.<br>
><br>
> If your DNS system is running on IP space in an anycast fashion I guess this<br>
> would spread the load out a bit depending on the number of nodes.<br>
><br>
> However, what could you scrub/filter on? Perhaps by trying to keep track of<br>
> source IPs, the time between requests, and the content of the requests?<br>
> Though, all of that could change quickly to suit the attack.<br>
><br>
> Thoughts out there?<br>
><br>
> Mark<br>
> _______________________________________________<br>
> AusNOG mailing list<br>
> <a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
> <a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
><br>
><br>
<br>
_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
</div></div></blockquote></div><br></div>