<div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Well, in almost any* case blacklisting reflection vectors by IP is an insanely bad practice.<br>* — I can *think* of a use case when this could be an appropriate solution (I recall Netscout/Arbor once had such a use case), but in the overwhelming majority of incidents it is absolutely not, and you need to be one hundred percent sure you know what you're doing.</blockquote><div><br></div><div>Agreed; drop the vector not the address, but was looking to just clarify the direction of things a bit. </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">NB: I have just checked the IP addresses the OP has provided me with<br>(offlist) against our database of known reflection sources, and I<br>confirm that none of those seem to ever host UDP software vulnerable<br>to amplification</blockquote><div><br></div><div>ty; good to know.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">They decide to completely ignore the emails, it seems like we're being either spoofed <b>or people are attacking us with Sony's IP space</b>.</blockquote><div><br></div><div>So you're getting inbound traffic that has Sony IP space source addresses in it?  That does start to sound more like people trying to reflect off of you to Sony.  What's the protocol and destination ports on the traffic you're receiving with Sony source addresses (and the source ports for good measure, if they're fairly consistent)?</div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><font face="monospace"><br></font></div><div dir="ltr"><font face="monospace">-- </font></div><div dir="ltr"><font face="monospace">Hugo Slabbert       | email, xmpp/jabber: <a href="mailto:hugo@slabnet.com" target="_blank">hugo@slabnet.com</a></font></div><div dir="ltr"><font face="monospace">pgp key: B178313E   | also on Signal</font></div></div></div></div></div></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jan 7, 2020 at 10:54 AM Töma Gavrichenkov <<a href="mailto:ximaera@gmail.com">ximaera@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Peace,<br>
<br>
On Tue, Jan 7, 2020 at 9:10 PM Hugo Slabbert <<a href="mailto:hugo@slabnet.com" target="_blank">hugo@slabnet.com</a>> wrote:<br>
> And you're sure that you are the reflection target not the reflection vector?<br>
<br>
NB: I have just checked the IP addresses the OP has provided me with<br>
(offlist) against our database of known reflection sources, and I<br>
confirm that none of those seem to ever host UDP software vulnerable<br>
to amplification.<br>
<br>
--<br>
Töma<br>
</blockquote></div>