<div dir="auto"><div><div dir="auto">Peace,</div><div dir="auto"><br></div><div dir="auto">Here's to confirm that the pattern reported before in NANOG was indeed a reflection DDoS attack. On Sunday, it also hit our customer, here's the report:</div><div dir="auto"><br></div><div dir="auto"><a href="https://www.prnewswire.com/news-releases/root-cause-analysis-and-incident-report-on-the-august-ddos-attack-300905405.html" target="_blank" rel="noreferrer">https://www.prnewswire.com/news-releases/root-cause-analysis-and-incident-report-on-the-august-ddos-attack-300905405.html</a></div><div dir="auto"><br></div><div dir="auto">tl;dr: basically that was a rather massive reflected SYN/ACK carpet bombing against several datacenter prefixes (no particular target was identified).</div><div dir="auto"><br></div><div dir="auto">--</div><div dir="auto">Töma</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Aug 17, 2019, 1:06 AM Jim Shankland <<a href="mailto:nanog@shankland.org" target="_blank" rel="noreferrer">nanog@shankland.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Greetings,<br>
<br>
I'm seeing slow-motion (a few per second, per IP/port pair) syn flood <br>
attacks ostensibly originating from 3 NL-based IP blocks: <a href="http://88.208.0.0/18" rel="noreferrer noreferrer noreferrer" target="_blank">88.208.0.0/18</a> <br>
, <a href="http://5.11.80.0/21" rel="noreferrer noreferrer noreferrer" target="_blank">5.11.80.0/21</a>, and <a href="http://78.140.128.0/18" rel="noreferrer noreferrer noreferrer" target="_blank">78.140.128.0/18</a> ("ostensibly" because ... syn flood, <br>
and BCP 38 not yet fully adopted).<br>
<br>
Why is this syn flood different from all other syn floods? Well ...<br>
<br>
1. Rate seems too slow to do any actual damage (is anybody really <br>
bothered by a few bad SYN packets per second per service, at this <br>
point?); but<br>
<br>
2. IPs/port combinations with actual open services are being targeted <br>
(I'm seeing ports 22, 443, and 53, just at a glance, to specific IPs <br>
with those services running), implying somebody checked for open <br>
services first;<br>
<br>
3. I'm seeing this in at least 2 locations, to addresses in different, <br>
completely unrelated ASes, implying it may be pretty widespread.<br>
<br>
Is anybody else seeing the same thing? Any thoughts on what's going on? <br>
Or should I just be ignoring this and getting on with the weekend?<br>
<br>
Jim<br>
</blockquote></div></div></div>