<div dir="ltr">Jim,<div><br></div><div>While I don't envy those who put in long hours to mitigate DDoSes at the 11th hour, the security industry as a whole, DDoS mitigation included, doesn't have a perfectly clean track record. Public court records offer plenty of evidence, and convictions from foul play while trying to win bids.</div><div><br></div><div>An individual I worked with previously personally handled a long, drawn out DDoS event that was ultimately perpetrated by a security contractor bidding for a job (I didn't work it personally, but it was a frequent topic of discussion while it was ongoing). Fortunately, after subsequent months of law enforcement investigation, the contractor was brought up on charges. </div><div><br></div><div>It's definitely not "crap" , it's a fact, albeit not necessarily common.</div><div><br></div><div>-Matt</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, May 24, 2021 at 10:38 AM jim deleskie <<a href="mailto:deleskie@gmail.com">deleskie@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div>While I have no design to engage in over email argument over how much latency people can actually tolerate, I will simply state that most people have a very poor understanding of it and how much additional latency is really introduced by DDoS mitigation.</div><div dir="auto"><br></div><div dir="auto">As for implying that DDoS mitigation companies are complicit or involved in attacks, while not the first time i heard that crap it's pretty offensive to those that work long hours for years dealing with the garbage.  If you honestly believe anyone your dealing with is involved with launching attacks you clearly have not done your research into potential partners.</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Sat., May 22, 2021, 11:20 a.m. Jean St-Laurent via NANOG, <<a href="mailto:nanog@nanog.org" target="_blank">nanog@nanog.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-CA" style="overflow-wrap: break-word;"><div><p class="MsoNormal"><span>Some industries can’t afford that extra delay by DDoS mitigation vendors.<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>The video game industry is one of them and there might be others that can’t tolerate these extra ms. Telemedicine, video-conference, fintech, etc.<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>As a side note, my former employer in video game was bidding for these vendors offering DDoS protection. While bidding, we were hit with abnormal patterns. As soon as we chose one vendors those very tricky DDoS patterns stopped.<u></u><u></u></span></p><p class="MsoNormal"><span>I am not saying they are working on both side, but still the coincidence was interesting. In the end, we never used them because they were not able to perfectly block the threat without impacting all the others projects.<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>I think these mitigators are nice to have as a very last resort. I believe what is more important for Network Operators is: to be aware of this, to be able to detect it, mitigate it and/or minimize the impact. It’s like magic, where did that rabbit go?<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>The art of war taught me everything there is to know about DDoS attacks even if it was written some 2500 years ago.<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>I suspect that the attack that impacted Baldur’s assets was a very easy DDoS to detect and block, but can’t confirm.<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>@Baldur: do you care to share some metrics?<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>Jean<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><div><div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0cm 0cm"><p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> NANOG <nanog-bounces+jean=<a href="mailto:ddostest.me@nanog.org" rel="noreferrer" target="_blank">ddostest.me@nanog.org</a>> <b>On Behalf Of </b>Jean St-Laurent via NANOG<br><b>Sent:</b> May 21, 2021 10:52 AM<br><b>To:</b> 'Lady Benjamin Cannon of Glencoe, ASCE' <<a href="mailto:lb@6by7.net" rel="noreferrer" target="_blank">lb@6by7.net</a>>; 'Baldur Norddahl' <<a href="mailto:baldur.norddahl@gmail.com" rel="noreferrer" target="_blank">baldur.norddahl@gmail.com</a>><br><b>Cc:</b> 'NANOG Operators' Group' <<a href="mailto:nanog@nanog.org" rel="noreferrer" target="_blank">nanog@nanog.org</a>><br><b>Subject:</b> RE: DDoS attack with blackmail<u></u><u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><span>I also recommend book Art of War from Sun Tzu.<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>All the answers to your questions are in that book.<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>Jean<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><div><div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0cm 0cm"><p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> NANOG <<a href="mailto:nanog-bounces+jean=ddostest.me@nanog.org" rel="noreferrer" target="_blank">nanog-bounces+jean=ddostest.me@nanog.org</a>> <b>On Behalf Of </b>Lady Benjamin Cannon of Glencoe, ASCE<br><b>Sent:</b> May 20, 2021 7:18 PM<br><b>To:</b> Baldur Norddahl <<a href="mailto:baldur.norddahl@gmail.com" rel="noreferrer" target="_blank">baldur.norddahl@gmail.com</a>><br><b>Cc:</b> NANOG Operators' Group <<a href="mailto:nanog@nanog.org" rel="noreferrer" target="_blank">nanog@nanog.org</a>><br><b>Subject:</b> Re: DDoS attack with blackmail<u></u><u></u></span></p></div></div><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">20 years ago I wrote an automatic teardrop attack.  If your IP spammed us 5 times, then a script would run, knocking the remote host off the internet entirely.<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Later I modified it to launch 1000 teardrop attacks/second…<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Today,  contact the FBI.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">And get a mitigation service above your borders if you can.<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p><div><div><div><div><p class="MsoNormal"><span style="font-size:9pt;font-family:Helvetica,sans-serif;color:black">—L.B.<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:9pt;font-family:Helvetica,sans-serif;color:black"><u></u> <u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:9pt;font-family:Helvetica,sans-serif;color:black">Ms. Lady Benjamin PD Cannon of Glencoe, ASCE<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:9pt;font-family:Helvetica,sans-serif;color:black">6x7 Networks & 6x7 Telecom, LLC <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:9pt;font-family:Helvetica,sans-serif;color:black">CEO <u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:9pt;font-family:Helvetica,sans-serif;color:black"><a href="mailto:lb@6by7.net" rel="noreferrer" target="_blank">lb@6by7.net</a><u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:9pt;font-family:Helvetica,sans-serif;color:black">"The only fully end-to-end encrypted global telecommunications company in the world.”<u></u><u></u></span></p></div><div><p class="MsoNormal"><span style="font-size:9pt;font-family:Helvetica,sans-serif;color:black">FCC License KJ6FJJ<u></u><u></u></span></p></div></div></div><p class="MsoNormal"><span style="font-size:9pt;font-family:Helvetica,sans-serif;color:black"><br></span><img border="0" width="32" height="32" style="width: 0.3333in; height: 0.3333in;" id="gmail-m_-3063542803704372078m_-8269687145400367211_x0000_i1026"><img border="0" width="32" height="32" style="width: 0.3333in; height: 0.3333in;" id="gmail-m_-3063542803704372078m_-8269687145400367211_x0000_i1025"><u></u><u></u></p></div><div><p class="MsoNormal" style="margin-bottom:12pt"><u></u> <u></u></p><blockquote style="margin-top:5pt;margin-bottom:5pt"><div><p class="MsoNormal">On May 20, 2021, at 12:26 PM, Baldur Norddahl <<a href="mailto:baldur.norddahl@gmail.com" rel="noreferrer" target="_blank">baldur.norddahl@gmail.com</a>> wrote:<u></u><u></u></p></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">Hello<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">We got attacked by a group that calls themselves "Fancy Lazarus". They want payment in BC to not attack us again. The attack was a volume attack to our DNS and URL fetch from our webserver.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I am interested in any experience in fighting back against these guys.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Thanks,<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Baldur<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></blockquote></div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div></blockquote></div></div></div>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">Matt Erculiani<div>ERCUL-ARIN</div></div></div>