<div dir="ltr">One the invariants of a DoS is that there are a lot of packets depleting the resources of a single target physical machine. Which means we can prevent it in two ways. Given that, there are several potential solutions which jump to my mind:<div><br>1) Reject bad-actors sending lots of packets. Would work against a DoS, but not a DDos, as each individual actor is sending a reasonable amount of packets.</div><div><br><div>2) Stop too many packets reaching the single target. During resource-exhaustion we could purge PIT entries with similar prefixes. The nature of the flooded interests means they should all have a similar prefix. We could limit the number of outstanding interests for a given prefix.</div><div><br></div><div>3) Scale up the target. IMO, one of the big advantages of NDN for service-operators is that (unlike IP) interests don't have to be answered by any specific physical machine. If you've designed your application well, you can easily add more capacity. This is "good enough", until you run into cost-constraints.</div><div><br></div><div>Of those, a combination of 2 and 3 seem the most practical.</div><div><br></div><div>Regards,</div><div>Paul</div></div></div>