Could you add something in iptables for rate limiting? Granted that wont handle NXDOMAIN/SRVFAIL specifically, but you could probably guess a high end average and cap it to that. <div><br></div><div>-Jon<br><br><div class="gmail_quote">
On Tue, Sep 6, 2011 at 21:36, Andrew Melton <span dir="ltr"><<a href="mailto:rbc310@gmail.com">rbc310@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Following the advice from the IRC channel, I am looking for throttling support in PDNS.  As I understand it, the rescursor currently has the ability to suppress repetitive queries from being forwarded to an authoritative name server.  However, there is no mechanism to discourage those requests from the client in the first place.<br>

<br>Essentially, instead of answering the a bogus query forever, at a certain point, it would make sense to return an alternate response.  After 50 requests for an NXDOMAIN, the recursor could not only stop forwarding queries, but reply with SRVFAIL or similar, updating its cache accordingly.<br>

<br>Just as with setting a throttling threshold on forwarding, x requests within y seconds would constitute a flood and instruct the recursor to protect itself by altering its response to identical requests.  <br><br>And pushing this to a network appliance (firewall) won't work.  It needs to be unattended and realtime.  <br>

<br>Thanks.<br><br>
<br>_______________________________________________<br>
Pdns-users mailing list<br>
<a href="mailto:Pdns-users@mailman.powerdns.com">Pdns-users@mailman.powerdns.com</a><br>
<a href="http://mailman.powerdns.com/mailman/listinfo/pdns-users" target="_blank">http://mailman.powerdns.com/mailman/listinfo/pdns-users</a><br>
<br></blockquote></div><br></div>