<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>Hello,<BR> <BR>Thanks for your answer.<BR>I see ANY queries from my clients (we do not use open resolvers)<BR> <BR>I do not see why these kind of queries are present.<BR>Moreover, the cache servers only anbswer with its cache content.<BR>Is this normal or must the cache query the authoritztive server to fetch all the records?<BR> <BR>Hugo,<br> <BR><div>> Date: Sun, 2 Jun 2013 22:13:33 +0000<br>> From: vjs@rhyolite.com<br>> To: bind-users@lists.isc.org<br>> Subject: Re: any requests<br>> <br>> > From: Matus UHLAR - fantomas <uhlar@fantomas.sk><br>> <br>> > On 02.06.13 20:28, hugo hugoo wrote:<br>> <br>> > >I plan to block these kind of requests on the dns cache servers in order to<br>> > > avoid any amplification attack.<br>> <br>> > hard to say, but as I stated before: don't do that.<br>> <br>> Instead, use RRL to mitigate many kinds of amplification attacks instead<br>> of only those using ANY.  See http://www.redbarn.org/dns/ratelimits<br>> <br>> Blocking DNS ANY requests is to DNS amplification DoS mitigation as<br>> blocking SMTP envelope Mail_From values of <> is to spam filtering.<br>> In early spam days, people who either knew far less than they pretended<br>> or had special agendas prescribed blocking the <> sender as almost the<br>> FUSSP, and never mind RFCs that require accepting mail from <>, the<br>> value of mail from <>, and the vast floods of spam that don't and<br>> never did involve the <> sender.<br>> <br>> Blocking DNS ANY or SMTP <> fit the old saying by H. L. Mencken:<br>>     For every complex problem there is an answer that is clear,<br>>      simple, and wrong.<br>> <br>> <br>> Vernon Schryver    vjs@rhyolite.com<br>> _______________________________________________<br>> Please visit https://lists.isc.org/mailman/listinfo/bind-users to unsubscribe from this list<br>> <br>> bind-users mailing list<br>> bind-users@lists.isc.org<br>> https://lists.isc.org/mailman/listinfo/bind-users<br></div>                                        </div></body>
</html>