<div dir="ltr"><div dir="ltr">On Mon, Aug 19, 2019 at 4:15 AM Töma Gavrichenkov <<a href="mailto:ximaera@gmail.com">ximaera@gmail.com</a>> wrote:</div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Dealing with TCP flags is a different story:<br></blockquote><div><br></div><div>I agree these attacks can be large: the one under discussion probably exceeded 10Mpps (Gbps is the wrong metric for small-packet attacks)</div><div>I agree they can cause significant outages: this style of attack played a role in the Liberia outages in 2016</div><div>My main disagreement is whether small amplification factors are noteworthy.  A factor of 2 is "rounding error" and we probably shouldn't waste our time on it (eg, by designing solutions to reduce amplification factors) when we could instead be targeting the sources of spoofed traffic.</div><div><br></div><div>I was highlighting this as a DDoS (rather than a port scan) mainly to raise awareness.  This is definitely an interesting form of attack, largely for the reasons you state (it's subtle to detect and therefore harder to mitigate).  But this particular "carpet-bombing" attack isn't likely to be mitigated at the network layer anyway... the load is distributed across thousands of machines which can each trivially handle the state.  It's more a question of bandwidth to the provider... and if you're targeting the provider's bandwidth you'd do better to use traditional UDP amplification.</div><div><br></div><div>Damian</div></div></div>