<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto">Actually a little surprised to see port 25 blocked in both directions here along with 1080. It’s like saying here’s your network buuuuut it’s limited.<div><br></div><div>Though I wouldn’t recommend spawning up 25 it’s still a legitimately used port today as alike with 1080.<br><br><div dir="ltr"><div><span style="background-color: rgba(255, 255, 255, 0);">-- </span></div><div><span style="background-color: rgba(255, 255, 255, 0);"> J. Hellenthal</span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><span style="background-color: rgba(255, 255, 255, 0);">The fact that there's a highway to Hell but only a stairway to Heaven says a lot about anticipated traffic volume.</span></div><div dir="ltr"><br>On Mar 25, 2019, at 07:13, Ca By <<a href="mailto:cb.list6@gmail.com">cb.list6@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div dir="ltr"><div><div dir="auto">Blocked ssdp and move on </div></div><div dir="auto"><br></div><div dir="auto">Ssdp is a horrible ddos vector</div><div dir="auto"><br></div><div dir="auto">Comcast and many others already block it, because is the smart and best thing to do</div><div dir="auto"><br></div><div dir="auto"><div><a href="https://www.xfinity.com/support/articles/list-of-blocked-ports">https://www.xfinity.com/support/articles/list-of-blocked-ports</a></div><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Mar 25, 2019 at 1:30 AM marcel.duregards--- via NANOG <<a href="mailto:nanog@nanog.org">nanog@nanog.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Dear Community,<br>
<br>
We see more and more SSDP 'scan' in our network (coming from outside<br>
into our AS). Of course our client have open vulnerables boxes (last one<br>
is an enterprise class Synology with all defaults ports open:-)) which<br>
could be used as a reflection SSDP client.<br>
<br>
As SSDP is used with PnP for local LAN service discovery, we are<br>
thinking of:<br>
<br>
1) educate our client (take a lot of time)<br>
2) filter incoming SSDP packets (UDP port 1900 at least) in our bgp border<br>
<br>
We see option 2 as a good action to remove our autonomous systeme from<br>
potential sources of DDOS SSDP source toward the Internet.<br>
Of course this might (very few chance) open others problems with clients<br>
which use this port as an obfuscation port, but anyhow it would not be a<br>
good idea as it is a registered IANA port.<br>
We could think of filtering also incoming port 5000 (UPnP), but it is<br>
the default port that Synology decide to use (WHY???? so many trojan use<br>
this) for the DSM login into the UI.<br>
<br>
What do you think ?<br>
<br>
Thank, best regards,<br>
<br>
--<br>
Marcel<br>
</blockquote></div></div>
</div></blockquote></div></body></html>