<div><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Mar 17, 2020 at 9:03 AM Compton, Rich A <<a href="mailto:Rich.Compton@charter.com">Rich.Compton@charter.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Yes, we still see lots of UDP amplification attacks using NTP monlist.  We use a filter to block UDP src 123 packets of 468 bytes in length (monlist reply with the max 6 IPs).<br>
<br>
-Rich</blockquote><div dir="auto"><br></div><div dir="auto">+1 , still see, still have policers</div><div dir="auto"><br></div><div dir="auto">Fyi, ipv6 ntp / udp tends to have a much higher success rate getting through cgn / policers / ...</div><div dir="auto"><br></div><div dir="auto"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
On 3/17/20, 8:55 AM, "NANOG on behalf of Jared Mauch" <<a href="mailto:nanog-bounces@nanog.org" target="_blank">nanog-bounces@nanog.org</a> on behalf of <a href="mailto:jared@puck.nether.net" target="_blank">jared@puck.nether.net</a>> wrote:<br>
<br>
    I’m curious what people are seeing these days on the UDP/123 policers in their networks.<br>
<br>
    I know while I was at NTT we rolled some out, and there are a number of variants that have occurred over the past 6-7 years.  I’ve heard from people at the NTP Pool as well as having observed some issues with NTP at Akamai and time sync from time to time.<br>
<br>
    Are you still seeing a lot of NTP attacks in your flows these days?<br>
<br>
    Should we be looking to remove these, similar to how we did for SQL/Slammer after a time?<br>
<br>
    - Jared<br>
<br>
E-MAIL CONFIDENTIALITY NOTICE: <br>
The contents of this e-mail message and any attachments are intended solely for the addressee(s) and may contain confidential and/or legally privileged information. If you are not the intended recipient of this message or if this message has been addressed to you in error, please immediately alert the sender by reply e-mail and then delete this message and any attachments. If you are not the intended recipient, you are notified that any use, dissemination, distribution, copying, or storage of this message or any attachment is strictly prohibited.<br>
</blockquote></div></div>