
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


</head>


<body dir="auto">


<div dir="ltr">Protected or not, 600 pps is abusive. If they practice this behavior routinely they could find themselves filtered off the Internet. If Tore can’t reach them, I recommend an abuse report to their upstream, assuming they’re not directly peering


 at an IXP (I haven’t checked). <br>


<br>


<div dir="ltr">-mel via cell</div>


<div dir="ltr"><br>


<blockquote type="cite">On Jul 6, 2021, at 3:53 AM, Tom Beecher <beecher@beecher.cc> wrote:<br>


<br>


</blockquote>


</div>


<blockquote type="cite">


<div dir="ltr">


<div dir="ltr">As mentioned, rando traffic is part and parcel of being internet connected. There isn't much 'ok' or 'not ok' to it. At this point of the internet's lifecycle, it is incumbent on all operators to protect themselves as much as possible from potential


 malfeasance or unintended technical oopsies. 


<div><br>


</div>


<div>That being said, the public records for the originator look pretty sketch. Contact address is a USPS Post Office in Maryland, ARIN entries only a few months old, website is 'Look at these studies about internet research'! Probably not missing anything


 to nuke them at your edge, or honeypot them if you're nerd curious. </div>


</div>


<br>


<div class="gmail_quote">


<div dir="ltr" class="gmail_attr">On Tue, Jul 6, 2021 at 6:46 AM Tore Anderson <<a href="mailto:tore@fud.no">tore@fud.no</a>> wrote:<br>


</div>


<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


* Dobbins, Roland<br>


<br>


> Scanning is part of the ‘background radiation’ of the Internet, and it’s performed by various parties with varying motivations.  Of necessity, IPv6 scanning is likely to be more targeted (were your able to discern any rhyme or reason behind the observed scanning


 patterns?).<br>


<br>


The pattern appears to be sending a bunch of ICMPv6 pings to a random adresses<br>


within the same /104. The last 24 bits of each destination address appears<br>


randomised in each ping request, that is.<br>


<br>


I don't know if they move on to another /104 after they were done with the<br>


first one and so forth.<br>


<br>


> iACLs, tACLs, CoPP, selective QoS for various ICMPv6 types/codes, et. al. should be configured in such a manner that 600pps of anything can’t cause an adverse impact to any network functions.  Because actual bad actors are unlikely to voluntarily stop, even


 when requested to do so.<br>


<br>


Clearly, and in this particular case my CP protections did their job<br>


successfully, fortunately, but that is kind of besides the point.<br>


<br>


What I am wondering, though, is if it is really should be considered okay for<br>


a good actor to launch what essentially amounts to an neighbour cache<br>


exhaustion DoS attack towards unrelated network operators (without asking<br>


first), just because bad actors might do the same.<br>


<br>


Tore<br>


<br>


</blockquote>


</div>


</div>


</blockquote>


</div>


</body>


</html>