
<div dir="ltr">unbound has a bunch of `ratelimit` options that may help you out.</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Apr 10, 2018 at 12:27 AM, W.C.A. Wijngaards via Unbound-users <span dir="ltr"><<a href="mailto:unbound-users@unbound.net" target="_blank">unbound-users@unbound.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Mahdi,<br>

<br>

This may not be what you are looking for but the just released<br>

aggressive-nsec: yes option uses DNSSEC aggressive NSEC processing to<br>

cache more NXDOMAINs per upstream lookup, and more quickly respond to<br>

NXDOMAINs, resulting in less upstream traffic and less load on the<br>

server for NXDOMAINS.<br>

<br>

Best regards, Wouter<br>

<span class=""><br>

On 10/04/18 08:45, Mahdi Adnan via Unbound-users wrote:<br>

> Thank you all for your response,<br>

><br>

><br>

> --<br>

><br>

</span>> Respectfully*<br>

> **Mahdi A. Mahdi*<br>

><br>

> ------------------------------<wbr>------------------------------<wbr>------------<br>

> *From:* Paul Vixie <<a href="mailto:paul@redbarn.org">paul@redbarn.org</a>><br>

> *Sent:* Monday, April 9, 2018 11:37 PM<br>

> *To:* Rainer Duffner<br>

> *Cc:* Mahdi Adnan; <a href="mailto:unbound-users@unbound.net">unbound-users@unbound.net</a><br>

> *Subject:* Re: DGA Attack mitigation<br>

<div class="HOEnZb"><div class="h5">>  <br>

><br>

><br>

> Rainer Duffner via Unbound-users wrote:<br>

>><br>

>><br>

>>> Am 09.04.2018 um 20:04 schrieb Mahdi Adnan via Unbound-users<br>

>>> <<a href="mailto:unbound-users@unbound.net">unbound-users@unbound.net</a> <mailto:<a href="mailto:unbound-users@unbound.net">unbound-users@unbound.<wbr>net</a>>>:<br>

>>><br>

>>> Im running 20 Unbound servers and around 20% of response are NXDOMAIN,<br>

>>> for queries coming from my clients.<br>

>><br>

>><br>

>><br>

>> Block those IPs that are obviously p4wned until they clean up their PCs?<br>

><br>

> the source addresses are forged. the victims are not unclean in any way.<br>

> this is why rrl exists.<br>

><br>

> -- P Vixie<br>

><br>

<br>

<br>

</div></div></blockquote></div><br></div>