<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2E3d">
>>       * DNS responses which had a low to very low TTL (time to live)<br>
>>         value, which is somewhat unusual;<br>
<br>
</div>We tried sigs for this a while ago and found that there are as many<br>
legit low ttl responses as there were hostile. The sigs were reliable<br>
and relatively low load, but the information wasn't actionable<br>
unfortunately. Pretty everyone with akami hit on it, etc.<br>
<div class="Ih2E3d"></div></blockquote><div><br>Maybe have a whitelist? <br>or Just include this parameter within a DNS/IP reputation score?<br>  <br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br>
<div class="Ih2E3d"><br>
>>       * DNS queries which were issued more frequently by the client<br>
>>         than would be expected given the TTL for that hostname;<br>
<br>
</div>How do you mean? Loke looking for a client that's making repeated dns<br>
queries within the TTL? Maybe poorly coded bots?</blockquote><div><br>Not sure, this was directly quoted from the SANs post :) <br><br><br></div></div>