<div dir="ltr">Thanks for your reply Remi,<div><br>Basically, when the server receives a spoofed DNS query, it truncates the UDP packet and it forces the source address to use TCP. The source address when receives the request from server to move in TCP it ignore the request because it didn't originally send the (spoofed) request.</div><div><br></div><div>Is it right?<br><br>Thanks</div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-02-11 8:32 GMT+00:00 Remi Gacogne <span dir="ltr"><<a href="mailto:remi.gacogne+dnsdist@powerdns.com" target="_blank">remi.gacogne+dnsdist@powerdns.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Hi Federico,<br>
<span class=""><br>
On 02/11/2016 12:24 AM, Federico Olivieri wrote:<br>
> However is not clear to me if I have and UDP ANY request (and in case of<br>
> DDoS attack, more then one!)  why I should reply back to use TCP. How<br>
> can this mitigate a potential DDoS attack based on ANY queries?<br>
<br>
</span>It prevents you from being used as an amplification source for a DDOS<br>
(if the source address is spoofed) because the answer is not larger than<br>
the query, while letting legitimate clients retry over TCP and then<br>
getting a valid response.<br>
<br>
If you prefer so, you can drop all ANY queries with:<br>
<br>
addAction(QTypeRule(dnsdist.ANY), DropAction())<br>
<br>
<br>
<br>
Best regards,<br>
<span class="HOEnZb"><font color="#888888">--<br>
Remi Gacogne<br>
PowerDNS.COM BV - <a href="https://www.powerdns.com/" rel="noreferrer" target="_blank">https://www.powerdns.com/</a><br>
</font></span></blockquote></div><br></div>