<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">I've never actually used RRL, but from the manual, it appears to default to a /24 prefix length to determine whether IPv4 clients are "similar" enough

 to be lumped in the same bucket, for RRL purposes. That might need to be tweaked, depending on the profile of whoever is attacking/abusing you. The option is </span><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">ipv4-prefix-length.

 IPv6 has a similar option, defaulting to /56.</span></div>

<div><br>

</div>

<div><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">From your partial log extract, it looks like you're getting hit from different parts of the </span><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">114.29.192.0/19

 netblock (which, according to APNIC, appears to belong to </span><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">WebEx/Cisco)</span><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">.

 That's why I suggested you might want to tweak those settings.</span></div>

<div><br>

</div>

<div><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">From the ARM, it looks like there are other configuration parameters too -- responses-per-second, nodata-per-second, nxdomains-per-second, referrals-per-second

 -- presumably all intended to provide fine-grained protection with minimal false positives.</span></div>

<div><br>

</div>

<div class="elementToProof"><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">I would recommend a thorough reading of the ARM, and perhaps consultation with DNS admins who have practical experience with

 RRL. Hopefully there are some on this list.</span></div>

<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

If you have a robust IPS in place, it should be possible, with the appropriate signature/rule, to drop

<b>all</b> incoming root-domain queries. That's a pretty drastic solution, though, and there could be fallout.</div>

<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">                                            - Kevin</span></div>

<div id="appendonsend"></div>

<hr style="display:inline-block;width:98%" tabindex="-1">

<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> bind-users <bind-users-bounces@lists.isc.org> on behalf of Richard T.A. Neal <richard@richardneal.com><br>

<b>Sent:</b> Tuesday, August 2, 2022 5:20 PM<br>

<b>To:</b> rgm@htt-consult.com <rgm@htt-consult.com>; bind-users@lists.isc.org <bind-users@lists.isc.org><br>

<b>Subject:</b> RE: Stopping ddos</font>

<div> </div>

</div>

<div class="BodyFragment"><font size="2"><span style="font-size:11pt;">

<div class="PlainText">>> Any best practices on this?<br>

>> <br>

>> I am running bind 9.11.4<br>

>> <br>

>> thanks<br>

<br>

> You could think about adding fail2ban to your server with some custom rules. <br>

> Helped us in a similar situation.<br>

<br>

You could also take advantage of BIND's built-in Response Rate Limiting which is explained here:<br>

<a href="https://downloads.isc.org/isc/bind9/9.16.31/doc/arm/html/reference.html#response-rate-limiting">https://downloads.isc.org/isc/bind9/9.16.31/doc/arm/html/reference.html#response-rate-limiting</a><br>

<br>

I  don't recall if BIND 9.11 supports that feature, but even if it does you should really be upgrading to 9.16.31 anyway (the latest Current-Stable, ESV).<br>

<br>

Best,<br>

Richard.<br>

-- <br>

Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>

<br>

ISC funds the development of this software with paid support subscriptions. Contact us at

<a href="https://www.isc.org/contact/">https://www.isc.org/contact/</a> for more information.<br>

<br>

<br>

bind-users mailing list<br>

bind-users@lists.isc.org<br>

<a href="https://lists.isc.org/mailman/listinfo/bind-users">https://lists.isc.org/mailman/listinfo/bind-users</a><br>

</div>

</span></font></div>

</body>

</html>