<div dir="ltr"><div dir="ltr">On Wed, Aug 21, 2019 at 3:21 PM Töma Gavrichenkov <<a href="mailto:ximaera@gmail.com">ximaera@gmail.com</a>> wrote:</div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
On Thu, Aug 22, 2019 at 12:17 AM Damian Menscher <<a href="mailto:damian@google.com" target="_blank">damian@google.com</a>> wrote:<br>
> Some additional questions, if you're able to answer them (off-list is fine if there are things that can't be shared broadly):<br>
>   - Was the attack referred to law enforcement?<br>
<br>
It is being referred to now.  This would most probably get going under<br>
the jurisdiction of the Netherlands.<br></blockquote><div><br></div><div>Deeper analysis and discussion indicates there were several victims: we saw brief attacks targeting some of our cloud customers with syn-ack peaks above 125 Mpps; another provider reported seeing 275Mpps sustained.  So presumably there are a few law enforcement investigations under way, in various jurisdictions.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
>   - Were any transit providers asked to trace the<br>
> source of the spoofing to either stop the attack<br>
> or facilitate the law enforcement investigation?<br>
<br>
No.... tracing the source was not deemed a high priority task.<br></blockquote><div><br></div><div>Fair enough.  I just didn't want to duplicate effort.</div><div><br></div><div>The source of the spoofing has been traced.  The responsible hosting provider has kicked off their problem customer, and is exploring the necessary filtering to prevent a recurrence.</div><div><br></div><div>If anyone sees more of this style of attack please send up a flare so the community knows to track down the new source.</div><div><br></div><div>Damian</div></div></div>