<div dir="ltr"><div dir="ltr">On Fri, Aug 16, 2019 at 3:05 PM Jim Shankland <<a href="mailto:nanog@shankland.org">nanog@shankland.org</a>> wrote:</div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
I'm seeing slow-motion (a few per second, per IP/port pair) syn flood <br>
attacks ostensibly originating from 3 NL-based IP blocks: <a href="http://88.208.0.0/18" rel="noreferrer" target="_blank">88.208.0.0/18</a> <br>
, <a href="http://5.11.80.0/21" rel="noreferrer" target="_blank">5.11.80.0/21</a>, and <a href="http://78.140.128.0/18" rel="noreferrer" target="_blank">78.140.128.0/18</a> ("ostensibly" because ... syn flood, <br>
and BCP 38 not yet fully adopted).<br><br>
Is anybody else seeing the same thing? Any thoughts on what's going on? <br>
Or should I just be ignoring this and getting on with the weekend?<br></blockquote><div><br></div><div>This appears to be a TCP amplification attack.  Similar to UDP amplification (DNS, NTP, etc) you can get some amplification by sending a SYN packet with a spoofed source, and watching your victims receive multiple SYN-ACK retries.  It's a fairly weak form of attack (as the amplification factor is small), but if the victim's gear is vulnerable to high packet rates it may be effective.<br><br></div><div>The victim (or law enforcement) could identify the true source of the attack by asking transit providers to check their netflow to see where it enters their networks.<br><br></div><div>Damian</div></div></div>