<div dir="ltr">True, most, if not all reputable ISPs are already configured to deny DNS requests from IP addresses that are outside their network. The problem is that many times, DNS amplification attacks are using spoofed IP addresses.<div>
<br></div><div>So the attacker spoofs an IP address, the request hits the resolver, the resolver responds back to the <i>real</i> IP address (home router), and that home router then sends another response out.</div><div><br>
</div><div>So my idea is, essentially, to add another layer to the "restrict resolvers to their network only" requirement and add a 2nd degree of verification - i.e. ensuring that the client making the request to the resolver is who he says he is. </div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Sep 4, 2013 at 2:08 PM, Dave Brockman <span dir="ltr"><<a href="mailto:dave@brockmans.com" target="_blank">dave@brockmans.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
</div><div class="im">On 9/4/2013 11:28 AM, David White wrote:<br>
> Oh, I agree completely - open resolvers are a bad idea to begin<br>
> with. But so many of them are out there (misconfigured), and major<br>
> ISPs have them for their customers, that they aren't going away.<br>
<br>
</div>Open resolvers were not a bad idea to begin with.  They were essential<br>
to the functioning of the Internet once it outgrew the InterNIC<br>
"hosts" file.  Open SMTP relay also played a crucial part in growing<br>
the Internet.  We geeks are effing awesome at developing technical<br>
solutions to overcome technical problems.  We are not very good at<br>
anticipating just how *evil* people are.<br>
<br>
A very large percentage of what you are referencing is uber-cheap CPE<br>
router/modem that enables a DNS resolver on the WAN interface!<br>
<br>
ISPs should *ONLY* allow their network(s) to recursively query their<br>
name servers.  That is not the definition of an open resolver.<br>
<br>
There is already movement[1] to identify and close open resolvers.<br>
Quite a bit of traction has already been made, but we have a long,<br>
long way to go.<br>
<br>
Regards,<br>
<br>
dtb<br>
<br>
1. <a href="http://openresolverproject.org/" target="_blank">http://openresolverproject.org/</a><br>
<div class="im">-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.17 (MingW32)<br>
Comment: Using GnuPG with Thunderbird - <a href="http://www.enigmail.net/" target="_blank">http://www.enigmail.net/</a><br>
<br>
</div>iQEcBAEBAgAGBQJSJ3caAAoJEMP+wtEOVbcdOTAIAJotPDt+2uqwAS9dz6EG5de5<br>
2SbBurGeygyCZakOBokecqoZ/sHqyXKBWUxhTjF6jk2fd4yPulaqkUcNNKEiRaIw<br>
LL0CnATesmPPLqG1nyghlJYRA2axdkpUbIM4W8AxHpZX0YUC8ndgI/4PHdtXOpqm<br>
SDLTqnjwlEviZ7/wNSGHm6tvPlje54SObUjDMRSDuLdU4DpjZ+127bWbm5OvAEOE<br>
0PwxHr7ry7Y3dIzKklPPL0B3fDwK9iXnJPgn+X1XDelsGlRPh4lBoe6I5QmrD+Uj<br>
INkCVrwOWBHW3a2EEUKxEEPd1OkMzZfehK8hO9Wg8xvhOEgFPPvXv12m52qVYOg=<br>
=QjtP<br>
<div class="HOEnZb"><div class="h5">-----END PGP SIGNATURE-----<br>
_______________________________________________<br>
Chugalug mailing list<br>
<a href="mailto:Chugalug@chugalug.org">Chugalug@chugalug.org</a><br>
<a href="http://chugalug.org/cgi-bin/mailman/listinfo/chugalug" target="_blank">http://chugalug.org/cgi-bin/mailman/listinfo/chugalug</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr"><div><div style="font-family:arial;font-size:small">David White</div><div style="font-family:arial;font-size:small">Founder & CEO<br>
</div><div style="font-family:arial;font-size:small"><b><br></b></div><div style="font-family:arial;font-size:small"><div><b>Develop CENTS </b><br></div><div>Computing, Equipping, Networking, Training & Supporting </div>
<div>Nonprofit Organizations Worldwide</div><div><a href="http://developcents.com/" style="color:rgb(17,85,204)" target="_blank">http://developcents.com</a></div><div>423-693-4234</div></div></div><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;word-wrap:break-word;color:black;font-size:10px;text-align:left;line-height:130%">
</div></div>
</div>