<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Aug 17, 2019, 4:59 AM Jim Shankland <<a href="mailto:nanog@shankland.org">nanog@shankland.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 8/16/19 3:50 PM, Emille Blanc wrote:<br>
Thanks for the various responses. The pattern I (and apparently quite a <br>
few others) are seeing differs from an ordinary probe in that it is <br>
repeated a few times per second (if somebody wants to know who has a <br>
visible ssh server on port 22, and what version of sshd is running, they <br>
don't have to hit it multiple times per second). It differs from a SYN <br>
flood DoS attack in that its rate is too low to be effective. And it <br>
differs from both a port probe and a SYN flood attack (or somebody <br>
"learning how to use nmap") in that it is targeting a broad set of <br>
destinations in parallel<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Seen a similar pattern a few years ago.  Discovered it's a couple of students basically developing mass scanning software for a bachelor's degree who forgot to turn the running code off production before the summer break.</div><div dir="auto"><br></div><div dir="auto">That's the white noise of the Internet.  Unless it's hitting you multiple thousand times/s as opposed to multiple times/s, it's only a matter of unpaid curiosity to start figuring out the reason. I guess Amazon or microsoft dot com have quite a museum of that staff.</div><div dir="auto"><br></div><div dir="auto">--</div><div dir="auto">Töma</div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>