<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

</head>

<body dir="auto">

Not everyone uses RRs, and there is also the possibility that their upstream would register it. Having an RR doesn’t seem definitive either way. I can see reasons to wait on the RR until  ready to receive traffic. <br>

<br>

<div dir="ltr">-mel via cell</div>

<div dir="ltr"><br>

<blockquote type="cite">On Mar 9, 2021, at 11:14 AM, Brian Turnbow <b.turnbow@twt.it> wrote:<br>

<br>

</blockquote>

</div>

<blockquote type="cite">

<div dir="ltr">

<div style="font-family:Calibri, Arial, Helvetica, sans-serif; font-size:12.0pt; line-height:1.3; color:#1F497D" id="nine_body_n178186-4d096" class="nine_body" dir="auto">

<div class="nine-pg" dir="auto">If they had a route record that was close, I Would give them the benefit of doubt. </div>

<div class="nine-pg" dir="auto">They do not however as the only records start with 217. And our IPs are 45.</div>

<div class="nine-pg" dir="auto"><br data-mce-bogus="1">

</div>

<div class="nine-pg" dir="auto">So It Is very strange. Would you send a LOA without a route record?</div>

<div class="nine-pg" dir="auto"> </div>

<div class="nine-pg blank sign" dir="auto"><br>

</div>

<div id="nine-sign-n178186-4d096" class="nine_signature" dir="auto">

<div class="nine-pg" dir="auto">Brian Turnbow</div>

</div>

</div>

<div id="quoted_header_n178186-4d096" class="quoted_header_editor fold" dir="auto">

<hr style="border:none; height:1px; color:#E1E1E1; background-color:#E1E1E1;" class="nine-pg">

<div style="border:none; padding:3.0pt 0cm 0cm 0cm" class="nine-pg" dir="auto"><span style="font-size:11.0pt;font-family:Calibri, Arial, Helvetica, sans-serif"><b>Da:</b> Mel Beckman <mel@beckman.org><br>

<b>Inviato:</b> martedì 9 marzo 2021 19:17<br>

<b>A:</b> Brian Turnbow<br>

<b>Cc:</b> North American Network Operators' Group<br>

<b>Oggetto:</b> Re: an IP hijacking attempt<br>

</span></div>

</div>

<div id="quoted_body_n178186-4d096" class="quoted_body_editor mceEditable fold" dir="auto">

<div class="nine-pg" dir="auto"><br type="attribution">

</div>

<div class="nine-pg" dir="auto">It could just be a typo on the LOA. It seems unlikely any ISP would approve a forged LOA that could readily be debunked by contacting the IP space owner. The whole point of LOA’s is to facilitate this verification.

<br>

<br>

-mel via cell <br>

<br>

> On Mar 9, 2021, at 10:01 AM, Brian Turnbow via NANOG <nanog@nanog.org> wrote: <br>

> <br>

> Hello everyone, <br>

> <br>

> We received a strange request that I wanted to share. <br>

> An email was sent to us asking to confirm a LOA from a diligent ISP. <br>

> The Loa was a request to open bgp for an AS , that is not ours, to announce a /23 prefix that is ours.

<br>

> So basically this entity sent to their upstream a request to announce a prefix from one our allocated ranges.

<br>

> We have the allocation correctly registered and ROAs in place , but it is worrisome that someone would attempt this.

<br>

> Obviously we have informed the ISP that the LOA is not valid and are trying to contact the originating party.

<br>

> Aside from RIRs for the offending AS and our IPs,  Is there anywhere to report this type of activity?

<br>

> We have dealt with hijacking technically speaking in the past but this is the first time, to my knowledge, of someone forging a LOA with our IPs.

<br>

> <br>

> Thanks in advance for any advice <br>

> <br>

> Brian <br>

> <br>

> P.S. a big thanks to Chris for checking the boxes before activating the filter if you are on the list!

<br>

> <br>

> <br>

> <br>

> <br>

</div>

</div>

</div>

</blockquote>

</body>

</html>