
<div dir="ltr"><div><div><div><div>Mark,<br></div>If your point is that if an attacker can flood a server with traffic, the DOS will succeed, then we agree.<br><br></div>The point is to ensure that your attacker has an upper limit to resources available to them on the server. This is much harder to achieve with HTTPS, where you can't successfully create a session with a spoofed IP.<br><br></div>Kind regards<br><br></div>Paul Wilkins<br></div><div class="gmail_extra"><br><div class="gmail_quote">On 10 August 2016 at 15:11, Mark Delany <span dir="ltr"><<a href="mailto:g2x@juliet.emu.st" target="_blank">g2x@juliet.emu.st</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 10Aug16, Paul Wilkins allegedly wrote:<br>

<br>

> Assuming the architects have done basic due diligence<br>

<br>

</span>I see two unicast name servers for <a href="http://abs.gov.au" rel="noreferrer" target="_blank">abs.gov.au</a><br>

<br>

I see four unicast name servers for <a href="http://census.abs.gov.au" rel="noreferrer" target="_blank">census.abs.gov.au</a> all in the same<br>

/24 and all (obviously) accessible via the same route. They also<br>

accept TCP queries.<br>

<br>

They still have absurdly large TTLs on the A RRs.<br>

<br>

As best as I can tell, still no GSLB-like responses though they are<br>

now blocking DNS queries from the US which will stop the most naive<br>

DDOSes.<br>

<br>

Seems like they haven't even thought about their DNS being a<br>

vulnerable DDOS target yet. I would put that in basic due diligence.<br>

<span class=""><br>

<br>

> how does one DDOS an HTTPS site exactly?<br>

<br>

</span>Get a million bots to repeatedly establish an HTTPS connection? Embed<br>

<img src=<a href="https://150.207.169.6/foolish.jpg" rel="noreferrer" target="_blank">https://150.207.169.6/<wbr>foolish.jpg</a>> into a hijacked adsense ad<br>

or spam email?<br>

<br>

You only need to keep hitting it with the expensive TLS setup to kill<br>

most servers.<br>

<span class=""><br>

> And if they're running on SoftLayer, did they really have no ability to<br>

> scale out elastically?<br>

<br>

</span>I thought the SoftLayer folks had made in pretty clear they weren't<br>

involved.<br>

<div class="HOEnZb"><div class="h5"><br>

<br>

Mark.<br>

______________________________<wbr>_________________<br>

AusNOG mailing list<br>

<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>

<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" rel="noreferrer" target="_blank">http://lists.ausnog.net/<wbr>mailman/listinfo/ausnog</a><br>

</div></div></blockquote></div><br></div>