<div dir="ltr"><div dir="ltr">On Mon, Jan 27, 2020 at 5:10 PM Töma Gavrichenkov <<a href="mailto:ximaera@gmail.com">ximaera@gmail.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jan 28, 2020, 4:02 AM Damian Menscher via NANOG <<a href="mailto:nanog@nanog.org" rel="noreferrer" target="_blank">nanog@nanog.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>The victim already posted the signature to this thread:</div><div>  - source IP: 51.81.119.7</div><div>  - protocol: 6 (tcp)</div><div>  - tcp_flags: 2 (syn)<br></div><div><br></div><div>That alone is sufficient for Level3/CenturyLink/etc to identify the source of this abuse and apply filters, if they choose.</div></div></blockquote></div></div><div dir="auto"><br></div><div dir="auto">If this endpoint doesn't connect to anything outside of their network, then yes.</div><div dir="auto">If it does though, the design of the filter might become more complicated.</div></div></blockquote><div><br></div><div>Not really... just requires sorting by volume.  Turns out most legitimate hosts don't send high-volume syn packets. ;)  The same could be said of high-volume UDP packets destined to known amplification ports.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div dir="auto">If the OP posted their IPv4 addresses and networks to the list, it could've been easier though (however the concerns about the administrative processing procedures outlined before still apply).</div></div></blockquote><div><br></div><div>The victim info is only really needed if you are focused on a particular case.  A motivated person at a transit provider could likely identify all sources of spoofing (from their customers) with a day's work.  Multiple transit providers would need to work together to address all cases, as the source might be a customer of only one of them.</div><div><br></div><div>If anyone at a transit provider wants to attempt this feel free to contact me off-list for tips.</div><div><br></div><div>Damian </div></div></div>