
<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    Rate limiting depends perhaps a lot on the user scenario, whether:<br>

    <br>

    <b>(1) </b>the resolver is serving only trusted <b>lan</b> clients

    and in which case rate limiting may not be necessary unless

    suspecting a client being malicious.<br>

    <br>

    Read a suggestion somewhere to establish a baseline for DNS queries

    from clients that represents the normal/average usage and set the

    rate limit in the firewall accordingly.<br>

    The firewall rate limit though is per packet and not per DNS

    query/response, which could be different due to payload - in

    particular if EDNS is added to the mix.<br>

    <br>

    <blockquote type="cite">If EDNS is supported by both hosts in a DNS

      communication, then UDP payloads greater than 512 bytes can be

      used. EDNS is a feature that can be leveraged to improve bandwidth

      for DNS tunneling</blockquote>

    <br>

    <b>(2)</b> the resolver is serving untrusted <b>wan</b> clients and

    which case establishing a baseline and subsequent reasonable rate

    limit might prove difficult.<br>

    <br>

    (Packet) rate limiting via firewall on its own would seem to be a

    rather rudimentary way of protection and some advance firewall

    logic/learning would advance the protection level, e.g. maximum

    amount of queries from the same client ip for the same TLD/SLD

    within the TTL.<br>

    <br>

    BIND has implemented some Recursive Client Rate Limiting -

    <a class="moz-txt-link-freetext" href="https://kb.isc.org/docs/aa-01304">https://kb.isc.org/docs/aa-01304</a>, unfortunately Unbound appears not

    providing something of similar functionality.<br>

    <div class="moz-signature"><br>

    </div>

    <div class="moz-cite-prefix">On 23.11.2018 09:41,  via Unbound-users

      wrote:<br>

    </div>

    <blockquote type="cite"

cite="mid:CABPjrMUajVaLMZ72ROruAWu9wVAuWshpSa67EtzJabHrq3CmeQ@mail.gmail.com">

      <meta http-equiv="content-type" content="text/html; charset=UTF-8">

      <div dir="auto">

        <div style="font-family:sans-serif;font-size:12.8px" dir="auto">Hi,</div>

        <div dir="auto" style="font-family:sans-serif;font-size:12.8px">IP-ratelimit

          sounds good to me (as risk reduction :) Do you have some

          experience with values? Research needs to be done, in order to

          choose reasonable limit.</div>

        <div dir="auto" style="font-family:sans-serif;font-size:12.8px"><br>

        </div>

        <div dir="auto" style="font-family:sans-serif;font-size:12.8px">Filtering

          by qname lenght might be risky for legitimate traffic, i am

          afraid... </div>

        <div dir="auto" style="font-family:sans-serif;font-size:12.8px"><br>

        </div>

        <div dir="auto" style="font-family:sans-serif;font-size:12.8px">BR</div>

        <div class="gmail_quote" dir="auto">

          <div dir="ltr"><br>

          </div>

        </div>

      </div>

    </blockquote>

    <br>

  </body>

</html>