<div dir="ltr">Many of you guys know that DNS is something I'm interested in and continue to do a lot of research and work in. I'm nowhere near an expert, but find this aspect of the interwebs fascinating, and have done what I can to understand it better and advocate for best DNS practices. <div>
<br></div><div>I'm doing some brainstorming right now, and think I've come up with a theory that could possibly work in practice, but is probably a dumb idea. What do ya'll think? Is this a stupid idea? (In theory, I think its good, but in practice, I do think its dumb).</div>
<div><br></div><div>Here's a recent article on DNS Amplification attacks and how millions of home routers around the world are being used for the attacks: <a href="http://www.circleid.com/posts/20130903_dns_amplification_attacks_out_of_sight_out_of_mind_part_2/">http://www.circleid.com/posts/20130903_dns_amplification_attacks_out_of_sight_out_of_mind_part_2/</a></div>
<div><br></div><div>My theory is to create some sort of signing system for devices querying DNS resolvers that would authenticate the device making the query.</div><div><br></div><div>Sort of like DKIM for email, each router would generate a unique public / private key pair (different from the MAC address) that would then tie into the router's owner's domain system.</div>
<div><br></div><div>The public key for the router would go into public DNS, and the private key would be stored on the router. If the keys don't match, then the resolver doesn't respond / denies the request.</div>
<div><br></div><div>I see a few major disadvantages to a system like this, including:</div><div><ul><li>Added bandwidth to the DNS system</li><li>No incentive for home users (or anyone, for that matter) to implement the system on their routers</li>
<li>Low incentive for system administrators who operate resolvers to implement it onto their servers</li><li>Too much data to track in the DNS system (millions of DNS records - 1 for each router - would be absurd.... unless each router were given a unique subdomain name that the ISP tracked and updated automatically)</li>
</ul></div><div>I see this system giving the most benefit to home ISP providers.</div><div><div><br></div>-- <br><div dir="ltr"><div><div style="font-family:arial;font-size:small">David White</div><div style="font-family:arial;font-size:small">
Founder & CEO<br></div><div style="font-family:arial;font-size:small"><b><br></b></div><div style="font-family:arial;font-size:small"><div><b>Develop CENTS </b><br></div><div>Computing, Equipping, Networking, Training & Supporting </div>
<div>Nonprofit Organizations Worldwide</div><div><a href="http://developcents.com/" style="color:rgb(17,85,204)" target="_blank">http://developcents.com</a></div><div>423-693-4234</div></div></div><div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;word-wrap:break-word;color:black;font-size:10px;text-align:left;line-height:130%">
</div></div>
</div></div>