<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body>
<div>Hi,<br>
<br>
regarding 3), it's probably too late once your under attack. Note that in this case, it's Akamai that was attacked, and even though they have more capacity to spread out the attack, the server still went down.<br>
<br>
regarding 2), many people have made this content that NDN requires flow balance and that measuring flow imbalance tells you about attack. There is information in the unsatisfied interests. That is true, but that information is noisy and more importantly, relying
 on it means it becomes a new vector of attacks. <br>
<br>
Consider a few nodes spraying interests for non existing objects. The router will see a flow imbalance, and will shut down traffic, but it can't discriminate between valid traffic and attack. Attack succeeds. This is different from flooding the PIT, since it
 only attacks the monitoring of the flow imbalance and the router stops forwarding not under PIT exhaustion but from its observation of unsatisfied interests.<br>
<br>
New features enabled by PIT are also new risks.<br>
<br>
C.<br>
<br>
Sent from HUAWEI AnyOffice<br>
</div>
<div name="AnyOffice-Background-Image" style="border-top:1px solid #B5C4DF; font-size:14px; line-height:20px; padding:8px">
<div style="word-break:break-all"><b>From:</b>Paul Bellamy</div>
<div style="word-break:break-all"><b>To:</b>ndn-interest@lists.cs.ucla.edu,</div>
<div style="word-break:break-all"><b>Date:</b>2016-09-28 01:57:52</div>
<div style="word-break:break-all"><b>Subject:</b>Re: [Ndn-interest] Largest DDoS attack ever delivered by botnet of hijacked IoT devices</div>
<div><br>
</div>
</div>
<div>
<div dir="ltr">One the invariants of a DoS is that there are a lot of packets depleting the resources of a single target physical machine. Which means we can prevent it in two ways. Given that, there are several potential solutions which jump to my mind:
<div><br>
1) Reject bad-actors sending lots of packets. Would work against a DoS, but not a DDos, as each individual actor is sending a reasonable amount of packets.</div>
<div><br>
<div>2) Stop too many packets reaching the single target. During resource-exhaustion we could purge PIT entries with similar prefixes. The nature of the flooded interests means they should all have a similar prefix. We could limit the number of outstanding
 interests for a given prefix.</div>
<div><br>
</div>
<div>3) Scale up the target. IMO, one of the big advantages of NDN for service-operators is that (unlike IP) interests don't have to be answered by any specific physical machine. If you've designed your application well, you can easily add more capacity. This
 is "good enough", until you run into cost-constraints.</div>
<div><br>
</div>
<div>Of those, a combination of 2 and 3 seem the most practical.</div>
<div><br>
</div>
<div>Regards,</div>
<div>Paul</div>
</div>
</div>
</div>
</body>
</html>