<p style="MARGIN: 0cm 0cm 0pt" class="MsoNormal"><span lang="EN-US"><font face=" ">Hi, I wrote email 1 days ago (subject name: DDoS attack and difference actions in bind 9.6 / 9.7)</font></span></p>
<p style="MARGIN: 0cm 0cm 0pt" class="MsoNormal"><span lang="EN-US"><font face=" ">But I wonder mail could not approach to your mailbox, so I request support again.</font></span></p>
<p style="MARGIN: 0cm 0cm 0pt" class="MsoNormal"><span lang="EN-US"><font face=" "> </font></span></p>
<p style="MARGIN: 0cm 0cm 0pt" class="MsoNormal"><font face=" "><span lang="EN-US">First, Recently </span>“<span lang="EN-US"><a href="http://isc.org">isc.org</a> ANY</span>”<span lang="EN-US"> DDoS Attack is frequently generated in our DNS System (recursive Cache DNS)</span></font></p>

<p style="MARGIN: 0cm 0cm 0pt" class="MsoNormal"><font face=" "><span lang="EN-US">Query type is </span>“<span lang="EN-US">ANY</span>”<span lang="EN-US"> and I think it may be DNS Amplification Attack.</span></font></p>

<p style="MARGIN: 0cm 0cm 0pt" class="MsoNormal"><span lang="EN-US"><font face=" ">It is affecting all region in Korea, and query traffic (pps) sometimes exceeds 160K.</font></span></p>
<p style="MARGIN: 0cm 0cm 0pt" class="MsoNormal"><font face=" "><span lang="EN-US">Source IP</span>’<span lang="EN-US">s are variable, Spoofed or infected clients.</span></font></p>
<p style="MARGIN: 0cm 0cm 0pt" class="MsoNormal"><span lang="EN-US"><font face=" "> </font></span></p>
<p style="MARGIN: 0cm 0cm 0pt" class="MsoNormal"><span lang="EN-US"><font face=" ">Anyway, I have 3 questioned about this.</font></span></p>
<p style="MARGIN: 0cm 0cm 0pt" class="MsoNormal"><span lang="EN-US"><font face=" "> </font></span></p>
<p style="TEXT-INDENT: -18pt; MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd; mso-list: l0 level1 lfo1" class="MsoListParagraph"><span style="mso-bidi-font-family: ' '" lang="EN-US"><span style="mso-list: Ignore"><font face=" ">1.</font><span style="FONT: 7pt 'Times New Roman'">     </span></span></span><font face=" "><span lang="EN-US">If I solve this problem (burst <a href="http://isc.org">isc.org</a> </span>“<span lang="EN-US">ANY</span>”<span lang="EN-US"> query </span>–<span lang="EN-US"> Amplication Attack),</span></font></p>

<p style="MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd" class="MsoListParagraph"><span lang="EN-US"><font face=" ">Any better idea or case of blocking attack at other sites?</font></span></p>
<p style="MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd" class="MsoListParagraph"><span lang="EN-US"><font face=" "> </font></span></p>
<p style="TEXT-INDENT: -18pt; MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd; mso-list: l0 level1 lfo1" class="MsoListParagraph"><span style="mso-bidi-font-family: ' '" lang="EN-US"><span style="mso-list: Ignore"><font face=" ">2.</font><span style="FONT: 7pt 'Times New Roman'">     </span></span></span><font face=" "><span lang="EN-US">Curiosly, I found 2 different query result of </span>“<span lang="EN-US"><a href="http://isc.org">isc.org</a> ANY</span>”</font></p>

<p style="MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd" class="MsoListParagraph"><span lang="EN-US"><font face=" ">In bind-9.6 installed server, response query rcvd msg size is 600~700 byte,</font></span></p>
<p style="MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd" class="MsoListParagraph"><span lang="EN-US"><font face=" ">But bind-9.7, response rcvd msg size is 3100~3400 byte(large size), It includes lots of DNSSEC RRSet.</font></span></p>

<p style="MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd" class="MsoListParagraph"><span lang="EN-US"><font face=" ">Why response msg sizes are different depending on systems?</font></span></p>
<p style="MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd" class="MsoListParagraph"><span lang="EN-US"><font face=" "> </font></span></p>
<p style="TEXT-INDENT: -18pt; MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd; mso-list: l0 level1 lfo1" class="MsoListParagraph"><span style="mso-bidi-font-family: ' '" lang="EN-US"><span style="mso-list: Ignore"><font face=" ">3.</font><span style="FONT: 7pt 'Times New Roman'">     </span></span></span><span lang="EN-US"><font face=" ">I monitored DNS traffic after attack disappeared.</font></span></p>

<p style="MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd" class="MsoListParagraph"><font face=" "><span lang="EN-US">It seems that Bind-9.6 servers replied all about </span>“<span lang="EN-US">ISC ANY</span>”<span lang="EN-US"> query,</span></font></p>

<p style="MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd" class="MsoListParagraph"><span lang="EN-US"><font face=" ">But Bind-9.7 servers almost ignored them.</font></span></p>
<p style="MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd" class="MsoListParagraph"><span lang="EN-US"><font face=" ">I read new features of bind-9.7 doc and RELEASE-FILE.</font></span></p>
<p style="MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd" class="MsoListParagraph"><span lang="EN-US"><font face=" ">But there were no reports preventing above attack (sort of generating large response packet)</font></span></p>

<p style="MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd" class="MsoListParagraph"><font face=" "><span lang="EN-US">I have read once about preventing large RRSIG in negative query, but I think it</span>’<span lang="EN-US">s different situation compare of that.</span></font></p>

<p style="MARGIN: 0cm 0cm 0pt 38pt; mso-para-margin-left: 0gd" class="MsoListParagraph"><span lang="EN-US"><font face=" ">If you know the features in bind-9.7 related to above (ignore reply), please tell us.</font></span></p>

<p style="MARGIN: 0cm 0cm 0pt" class="MsoNormal"><span lang="EN-US"><font face=" "> </font></span></p>
<p style="MARGIN: 0cm 0cm 0pt" class="MsoNormal"><span lang="EN-US"><font face=" ">Best regards,</font></span></p>
<p style="MARGIN: 0cm 0cm 0pt" class="MsoNormal"><span lang="EN-US"><font face=" ">Euiho Kim</font></span></p>