<div dir="ltr">Hi Daisuke,<div class="gmail_extra"><br><div class="gmail_quote">On Sun, Mar 22, 2015 at 1:31 PM, Daisuke HIGASHI <span dir="ltr"><<a href="mailto:daisuke.higashi@gmail.com" target="_blank">daisuke.higashi@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I have implemented mitigation against random subdomain DoS attack (or<br>
sometime referred as water torture attack) for Unbound utilizing<br>
bloomfilter.<br>
<br>
<a href="https://github.com/hdais/unbound-bloomfilter" target="_blank">https://github.com/hdais/unbound-bloomfilter</a><br>
<br>
It learns qnames which resulted in noerror using bloomfilter in peace<br>
time. When a domain is set to be bloomfiltered (manually or<br>
automatically) it accepts only qnames to be noerror for the domain.<br>
<br>
This effectively refuse only bad random queries that result would be<br>
nxdomain while keeping the domain resolvable.<br></blockquote><div>This is interesting; can you help me understand where does the 9.6 bits come from?</div><div><br></div><div>Also, what would a false positive here be?</div><div>A random query that was allowed or a legitimate query that was refused?</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Regards,<br>
<span class="HOEnZb"><font color="#888888">--<br>
Daisuke HIGASHI<br></font></span></blockquote><div>Maciej</div><div><br></div></div></div></div>