1 0 0 0 8
play

1.0.0.0/8 Merit APNIC University of Michigan Eric - PowerPoint PPT Presentation

Oct 05, 2022 •369 likes •652 views

1.0.0.0/8 Merit APNIC University of Michigan Eric Wustrow George Michaelson Micheal Bailey Manish Karir Geoff Huston Farnam Jahanian Background We

  1. 1.0.0.0/8 ¡ Merit ¡ APNIC ¡ University ¡of ¡ Michigan ¡ Eric ¡Wustrow ¡ George ¡Michaelson ¡ Micheal ¡Bailey ¡ Manish ¡Karir ¡ Geoff ¡Huston ¡ Farnam ¡Jahanian ¡

  2. Background ¡ • We ¡are ¡now ¡down ¡to ¡the ¡last ¡16 ¡/8s ¡in ¡IPv4 ¡for ¡ allocaIon ¡ • There ¡is ¡a ¡growing ¡concern ¡that ¡these ¡blocks ¡ are ¡increasingly ¡less ¡desirable ¡ ¡ – 'Who ¡said ¡the ¡water ¡at ¡the ¡boMom ¡of ¡the ¡barrel ¡of ¡ IPv4 ¡addresses ¡will ¡be ¡very ¡pure?’ ¡– ¡NANOG ¡POST ¡ – “+1” ¡– ¡NANOG ¡POST ¡;) ¡ • IANA ¡allocated ¡1.0.0.0/8 ¡to ¡APNIC ¡in ¡January ¡ 2010 ¡

  3. Today’s ¡Talk ¡ • What ¡is ¡normal ¡for ¡an ¡unallocated ¡block? ¡Is ¡ 1.0.0.0/8 ¡any ¡different? ¡ – Amount ¡of ¡traffic ¡ – Protocols ¡used ¡ – Ports ¡used ¡ – Source ¡and ¡desInaIon ¡distribuIons ¡ • If ¡it ¡is ¡different, ¡why ¡is ¡it ¡different? ¡ • What ¡can ¡we ¡do ¡about ¡it? ¡

  4. First ¡Evidence ¡that ¡Something ¡is ¡Fishy ¡ • 27 ¡January ¡2010 ¡RIPE ¡NCC ¡announces ¡ 1.1.1.0/24, ¡1.2.3.0/24, ¡1.50.0.0/22 ¡and ¡ 1.255.0.0/16 ¡ • hMp://labs.ripe.net/content/polluIon-­‑18 ¡ Yes, ¡that’s ¡more ¡than ¡10Mbps ¡of ¡traffic! ¡

  5. RouIng ¡of ¡1.0.0.0/8 ¡ 1.0.0.0/24 AS7575 1.0.0.0/8 AS237 AS36561 1.1.0.0/24 AS3549 1.1.1.0/24 AS10834 1/8 Allocated AS12637 AS12654 AS36561 AS6503 AS7575 AS8218 AS8300 1.10.25.0/24 AS28006 1.120.0.0/13 AS23148 1.2.3.0/24 AS12637 AS12654 AS36561 AS7575 1.255.0.0/16 AS12654 1.40.0.0/13 AS23148 1.50.0.0/22 AS12654 1.80.0.0/13 AS23148 http://albatross.ripe.net/cgi-bin/rex.pl

  6. Ok ¡but ¡how ¡much ¡of ¡a ¡problem ¡is ¡this? ¡ • Merit ¡(AS237) ¡announced ¡1.0.0.0/8 ¡from ¡23 ¡ Feb ¡unIl ¡1 ¡March ¡2010 ¡ – Collected ¡7.9Tb ¡of ¡packet ¡capture ¡data ¡

  7. Traffic ¡to ¡1.0.0.0/8 ¡ Peak ¡Burst ¡ at ¡860Mbps ¡ UDP ¡ TCP ¡

  8. Packet ¡Rate ¡to ¡1.0.0.0/8 ¡ Peak ¡Burst ¡ at ¡220Kpps ¡ UDP ¡ TCP ¡ Marked ¡UDP ¡diurnal ¡paMern ¡

  9. But ¡how ¡abnormal ¡is ¡this? ¡ • Merit ¡(AS237) ¡announced ¡1.0.0.0/8 ¡from ¡23 ¡ Feb ¡unIl ¡1 ¡March ¡2010 ¡ • Merit ¡announced ¡35.0.0.0/8 ¡during ¡the ¡same ¡ period. ¡Unused ¡minus ¡a ¡single ¡/17 ¡block. ¡

  10. Is ¡1/8 ¡Normal? ¡No ¡Way! ¡ Total Volume ≠ 130-150 Mbps 15-25 Mbps 35.0.0.0/8 1.0.0.0/8 1. UDP 1. TCP Protocol Distribution 2. TCP ≠ 2. UDP 3. ICMP 3. ICMP

  11. Comparing ¡PolluIon ¡Types ¡ • 1/8 ¡(% ¡of ¡packets): ¡ – Scanning: ¡17.9% ¡(12.5B) ¡ – BackscaMer: ¡1.9% ¡(1.34B) ¡ – MisconfiguraIon ¡(Other): ¡80.2% ¡ • 35/8 ¡(% ¡of ¡packets): ¡ – Scanning: ¡69.7% ¡(15.5B) ¡ – BackscaMer: ¡6.2% ¡(1.39B) ¡ – MisconfiguraIon ¡(Other): ¡24.1% ¡ ¡

  12. What’s ¡going ¡on? ¡ Yes, ¡that’s ¡ The ¡“hot ¡spots” ¡appear ¡to ¡lie ¡in ¡the ¡low ¡/16s ¡ a ¡Log ¡Scale! ¡

  13. Top ¡10 ¡Contributors ¡are ¡75% ¡of ¡Packets ¡ Subnet ¡/24 ¡ ¡ ¡ ¡Packets ¡ ¡ % ¡ 1.1.1.0 ¡ ¡ 4797420185 ¡ ¡ 44.5 ¡ 1.4.0.0 ¡ ¡ 1884458639 ¡ ¡ 17.5 ¡ 1.0.0.0 ¡ ¡ 1069156477 ¡ 9.9 ¡ 1.2.3.0 ¡ 199452209 ¡ ¡ 1.8 ¡ 1.1.168.0 ¡ ¡ 62347104 ¡ ¡ 0.5 ¡ 1.10.10.0 ¡ ¡ 26362000 ¡ ¡ ¡ 0.2 ¡ 1.0.168.0 ¡ 18988771 ¡ 0.1 ¡ 1.1.0.0 ¡ ¡ ¡ ¡ 18822018 ¡ ¡ ¡ ¡ ¡ ¡ 0.1 ¡ 1.0.1.0 ¡ ¡ ¡ 14818941 ¡ ¡ ¡ ¡ 0.1 ¡ 1.2.168.0 ¡ ¡ ¡ 12484394 ¡ ¡ ¡ ¡ 0.1 ¡

  14. 1.1.1.1:15206 ¡ • For ¡1/8, ¡34.5% ¡of ¡all ¡packets ¡(and ¡50.1% ¡of ¡all ¡ bytes) ¡received ¡are ¡UDP ¡packets ¡to ¡1.1.1.1, ¡ desInaIon ¡port ¡15206. ¡ – Compare ¡to ¡35/8, ¡which ¡on ¡the ¡same ¡UDP ¡port ¡ (across ¡the ¡enIre ¡/8) ¡received ¡a ¡total ¡of ¡4703 ¡ packets ¡(0.00066%) ¡in ¡one ¡day. ¡

  15. What ¡are ¡they? ¡ • Most ¡of ¡the ¡payloads ¡looks ¡like ¡version ¡2 ¡RTP ¡packets ¡ – 75% ¡of ¡all ¡bytes ¡to ¡this ¡port ¡have ¡0x8000 ¡first ¡16 ¡bits ¡(first ¡ two ¡bits ¡is ¡the ¡version ¡number ¡and ¡the ¡next ¡14 ¡all ¡0) ¡ – the ¡majority ¡of ¡packets ¡are ¡214 ¡bytes ¡in ¡size ¡(89.4%) ¡ – the ¡vast ¡majority ¡(97.3%) ¡of ¡them ¡are ¡even ¡ports ¡(hinIng ¡ at ¡RTP ¡data) ¡ • Hand ¡full ¡of ¡bad ¡applicaIons ¡devices ¡ – All ¡this ¡coming ¡from ¡only ¡1036 ¡/24s ¡in ¡1 ¡day ¡of ¡data ¡ – And ¡from ¡only ¡1601 ¡source ¡ports ¡seemingly ¡unrelated ¡to ¡ the ¡ephemeral ¡port ¡ranges ¡

  16. It ¡turns ¡out, ¡the ¡1.0.0.0/8 ¡traffic ¡is ¡mostly ¡audio ¡data! ¡ • Took ¡one ¡stream, ¡from ¡XXX.148.35.10, ¡source ¡ port ¡13464 ¡and ¡noIced ¡the ¡PT ¡field ¡was ¡00 ¡ ¡ – PCMU, ¡a ¡raw-­‑ish ¡(compressed ¡dynamic ¡range) ¡ audio ¡wave ¡format. ¡ ¡ • Converted ¡this ¡into ¡a ¡.au ¡file ¡using ¡wireshark, ¡ and ¡it ¡is ¡indeed ¡an ¡audio ¡file. ¡Take ¡a ¡listen ¡for ¡ yourself: ¡

  17. 1.4.0.0 ¡ • For ¡1/8, ¡17.5% ¡of ¡all ¡packets ¡(and ¡10% ¡of ¡all ¡ bytes) ¡received ¡are ¡UDP ¡packets ¡to ¡1.4.0.0, ¡ desInaIon ¡port ¡33368, ¡514, ¡33527, ¡3072, ¡ 33493 ¡ – Surprisingly ¡most ¡of ¡these ¡could ¡be ¡interpreted ¡as ¡ DNS ¡traffic ¡of ¡different ¡types, ¡A, ¡AAAA, ¡MX, ¡etc. ¡ – Possibly ¡sourced ¡from ¡ASUS ¡ADSL ¡modem ¡ – Most ¡appear ¡to ¡be ¡misdirected ¡queries: ¡ • hotelnikkohimeji.co.jp. ¡ • x.myspacecdn.com ¡ • typepad.com ¡ • th411.photobucket.com ¡

  18. 1.2.3.4:5001 ¡ • Traffic ¡to ¡1.2.3.0 ¡is ¡1.8% ¡of ¡all ¡packets ¡ • Iperf ¡traffic ¡to ¡1.2.3.4 ¡is ¡roughly ¡10Mbps ¡of ¡ traffic ¡from ¡less ¡than ¡a ¡100 ¡unique ¡sources ¡ • The ¡top ¡contributor ¡(a ¡single ¡IP ¡from ¡ 41.194.0.0/16) ¡sent ¡roughly ¡70M ¡pkts/day ¡

  19. rfc1918 ¡analysis ¡(or ¡is ¡it ¡rfc32263?) ¡ • Some ¡other ¡popular ¡desInaIons ¡are ¡1.1.168.0, ¡ 1.0.168.0, ¡1.2.168.0? ¡ • Most ¡of ¡the ¡packets ¡are ¡going ¡to:1.1.168.192, ¡ 1.0.168.192, ¡1.2.168.192. ¡ ¡ • These ¡IPs ¡are ¡really ¡just ¡192.168.x.1, ¡in ¡host-­‑byte ¡ order ¡(liMle-­‑endian), ¡someone ¡is ¡not ¡doing ¡a ¡proper ¡ htonl(ip_addr); ¡somewhere, ¡and ¡we ¡are ¡catching ¡the ¡ data. ¡ • DesInaIon ¡port ¡80, ¡over ¡UDP ¡(yeah...UDP, ¡not ¡TCP), ¡ length ¡= ¡1, ¡and ¡data ¡of ¡0x31 ¡

  20. What ¡can ¡we ¡do ¡about ¡it? ¡ • APNIC ¡suggested ¡that ¡the ¡following ¡/24s ¡be ¡withheld ¡ from ¡general ¡allocaIon: ¡ – 1.0.0.0/24 ¡ – 1.1.1.0/24 ¡ – 1.2.3.0/24 ¡ – 1.4.0.0/24 ¡ – 1.10.10.0/24 ¡ • If ¡further ¡invesIgaIon ¡reveals ¡that ¡the ¡traffic ¡to ¡any ¡ of ¡these ¡/24s ¡abates ¡to ¡a ¡normal ¡background ¡level ¡in ¡ the ¡future, ¡then ¡these ¡addresses ¡would ¡be ¡returned ¡ to ¡the ¡APNIC ¡unallocated ¡address ¡pool ¡at ¡that ¡Ime. ¡

  21. What ¡can ¡we ¡do ¡about ¡it ¡(cont)? ¡ • It ¡is ¡recommended ¡that ¡the ¡following ¡/16s ¡be ¡temporarily ¡ marked ¡as ¡reserved ¡and ¡withheld ¡from ¡general ¡allocaIon ¡by ¡ APNIC: ¡ 1.0.0.0/16 ¡ 1.5.0.0/16 ¡ 1.20.0.0/16 ¡ 1.1.0.0/16 ¡ 1.6.0.0/16 ¡ 1.32.0.0/16 ¡ 1.2.0.0/16 ¡ 1.7.0.0/16 ¡ 1.37.0.0/16 ¡ 1.3.0.0/16 ¡ 1.8.0.0/16 ¡ 1.187.0.0/16 ¡ 1.4.0.0/16 ¡ 1.10.0.0/16 ¡ • These ¡/16s ¡should ¡be ¡marked ¡as ¡allocated ¡to ¡APNIC ¡R&D ¡to ¡ allow ¡further ¡short ¡term ¡experimentaIon ¡in ¡the ¡distribuIon ¡ of ¡unsolicited ¡background ¡traffic ¡to ¡these ¡addresses ¡to ¡be ¡ conducted ¡by ¡APNIC ¡

  22. Would ¡eliminaIng ¡hotspots ¡help? ¡ BEFORE AFTER

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Leading electromagnetic corrections to meson masses and the HVP Vera G ulpers James Harrison,

Leading electromagnetic corrections to meson masses and the HVP Vera G ulpers James Harrison,

Leading electromagnetic corrections to meson masses and the HVP Vera G ulpers James Harrison, Andreas J uttner, Antonin Portelli, Christopher Sachrajda School of Physics and Astronomy University of Southampton July 26, 2016 LATTICE

490 views • 19 slides
Turning the screws on the Standard Model: theory predictions for the anomalous magnetic moment

Turning the screws on the Standard Model: theory predictions for the anomalous magnetic moment

Turning the screws on the Standard Model: theory predictions for the anomalous magnetic moment of the muon Christine Davies University of Glasgow Birmingham HPQCD collaboration February 2019 Outline 1) Introduction : what is the anomalous

615 views • 30 slides
Can One trust Results from Effective Lagrangians & Global Fits? M. Benayoun LPNHE Paris 6/7

Can One trust Results from Effective Lagrangians & Global Fits? M. Benayoun LPNHE Paris 6/7

Improving Estimates for (g-2) : Can One trust Results from Effective Lagrangians & Global Fits? M. Benayoun LPNHE Paris 6/7 OUTLINE HVP Evaluations & Effective Lagrangians The HLS Model, its Breaking & Scope The

942 views • 69 slides
Computational methods in optimization David F. Gleich Purdue University Thanks to Nick

Computational methods in optimization David F. Gleich Purdue University Thanks to Nick

Computational methods in optimization David F. Gleich Purdue University Thanks to Nick Henderson for many slides. 1 Course objectives To understand optimization To be able to optimize a function Course outline Background Software Least

829 views • 21 slides
Numerical investigation of QED finite-volume effects for meson mass and HVP James Harrison

Numerical investigation of QED finite-volume effects for meson mass and HVP James Harrison

Numerical investigation of QED finite-volume effects for meson mass and HVP James Harrison University of Southampton RBC/UKQCD 22 nd June 2017 1/23 The RBC & UKQCD collaborations Jiqun Tu BNL and RBRC KEK Bigeng Wang Mattia Bruno

347 views • 24 slides
What a parsed corpus is and how to use it Anthony Kroch and Beatrice Santorini University of

What a parsed corpus is and how to use it Anthony Kroch and Beatrice Santorini University of

What a parsed corpus is and how to use it Anthony Kroch and Beatrice Santorini University of Pennsylvania LSA Summer Institute Workshop on Diachronic Syntax June 29-30, 20 1 3 Types of annotation Lemmatization Word sense disambiguation

453 views • 44 slides
The role of final-state interactions in Dalitz plot studies Bastian Kubis Helmholtz-Institut f

The role of final-state interactions in Dalitz plot studies Bastian Kubis Helmholtz-Institut f

The role of final-state interactions in Dalitz plot studies Bastian Kubis Helmholtz-Institut f ur Strahlen- und Kernphysik (Theorie) Bethe Center for Theoretical Physics Universit at Bonn, Germany Hadron 2011 Munich, June 13th 2011

387 views • 20 slides
No more mini-languages: Autodiff in full-featured Python David Duvenaud, Dougal Maclaurin,

No more mini-languages: Autodiff in full-featured Python David Duvenaud, Dougal Maclaurin,

No more mini-languages: Autodiff in full-featured Python David Duvenaud, Dougal Maclaurin, Matthew Johnson Our awesome new world TensorFlow, Stan, Theano, Edward Only need to specify forward model Autodiff + inference / optimization

397 views • 27 slides
Lattice QCD on Blue Waters PI: Paul Mackenzie (Fermilab) Presenter: Steven Gottlieb (Indiana)

Lattice QCD on Blue Waters PI: Paul Mackenzie (Fermilab) Presenter: Steven Gottlieb (Indiana)

Lattice QCD on Blue Waters PI: Paul Mackenzie (Fermilab) Presenter: Steven Gottlieb (Indiana) (USQCD) NCSA Blue Waters Symposium for Petascale Science and Beyond Sunriver Resort June 4-7, 2018 Collaborators Ziyuan Bai, Norman Christ

922 views • 26 slides
Web Service Pa,erns 95-702 Distributed Systems October 2013

Web Service Pa,erns 95-702 Distributed Systems October 2013

Web Service Pa,erns 95-702 Distributed Systems October 2013 1 Web Service Pa,erns Based largely on the book Service Design Pa,erns by Robert

869 views • 76 slides
Optimization in Alibaba: Beyond Convexity System for AI AI for system Jian Tan Computer

Optimization in Alibaba: Beyond Convexity System for AI AI for system Jian Tan Computer

Optimization in Alibaba: Beyond Convexity System for AI AI for system Jian Tan Computer Systems Machine Intelligent Technology | | Optimization Machine Operations Learning Research

569 views • 41 slides
Course Introduc-on Bryce Boe 2012/08/06 CS32, Summer 2012 B

Course Introduc-on Bryce Boe 2012/08/06 CS32, Summer 2012 B

Course Introduc-on Bryce Boe 2012/08/06 CS32, Summer 2012 B About Me (Bryce Boe) Ph.D. Candidate in Computer Science Educa-on Focus on automated

863 views • 29 slides
1 Probability Recap Reasoning over Time or Space Condi+onal

1 Probability Recap Reasoning over Time or Space Condi+onal

Announcements CSE 473: Ar+ficial Intelligence Markov Models No class on Wed Daniel S. Weld --- University of Washington 2 [Most slides

390 views • 12 slides
Proverbs Series Lesson #002 January 6, 2013 Dean Bible Ministries www.deanbible.org Dr. Robert

Proverbs Series Lesson #002 January 6, 2013 Dean Bible Ministries www.deanbible.org Dr. Robert

Proverbs Series Lesson #002 January 6, 2013 Dean Bible Ministries www.deanbible.org Dr. Robert L. Dean, Jr. Proverbs Guide for Skillful Living Title Prov. 1:1, The proverbs of Solomon the son of David, king of Israel: Proverbs

560 views • 22 slides
A Tutorial Introduction to DANE Jan Zorz / ISOC Carlos Mar1nez /

A Tutorial Introduction to DANE Jan Zorz / ISOC Carlos Mar1nez /

A Tutorial Introduction to DANE Jan Zorz / ISOC Carlos Mar1nez / LACNIC Mechanics of Web Browsing Security? Data flowing in plain text? That can be solved by

1.08k views • 51 slides
Hadronic light-by-light scattering in the muon anomalous magnetic moment on the lattice Nils

Hadronic light-by-light scattering in the muon anomalous magnetic moment on the lattice Nils

Hadronic light-by-light scattering in the muon anomalous magnetic moment on the lattice Nils Asmussen in Collaboration with Antoine G erardin, Harvey Meyer, Andreas Nyffeler University of Southampton 30 October 2018 Nils Asmussen (SOTON)

466 views • 33 slides
The Muon g-2 Experiment Jenny Holzbauer September 27, 2017 Overview Motivation and some

The Muon g-2 Experiment Jenny Holzbauer September 27, 2017 Overview Motivation and some

The Muon g-2 Experiment Jenny Holzbauer September 27, 2017 Overview Motivation and some history Comment on theory and its inputs Moving from BNL to Fermilab The planned measurement Experiment setup Measurement strategy

717 views • 25 slides
NSF Proposal Strategies and Current Opportunities for Collaboration Presented by:

NSF Proposal Strategies and Current Opportunities for Collaboration Presented by:

NSF Proposal Strategies and Current Opportunities for Collaboration Presented by: Susan Malone Back, PhD, MBA Research Scien;st, Ins;tute for Measurement, Methodology, Analysis and

214 views • 10 slides
The Fermilab Muon g-2 experiment: laser calibration system M. Karuza University of Rijeka and

The Fermilab Muon g-2 experiment: laser calibration system M. Karuza University of Rijeka and

The Fermilab Muon g-2 experiment: laser calibration system M. Karuza University of Rijeka and INFN Sezione di Trieste on behalf Muon g-2 Collaboration The Fermilab Muon g-2 experiment: laser calibration system physics challanges

574 views • 21 slides
Features(and(prevalence(of(plagiarism(in biomedical(science

Features(and(prevalence(of(plagiarism(in biomedical(science

MIE(2014,(Istanbul Health(and(Clinical(Information(Systems((S40) National(implementations(of(HIT(2;((September(2,(2014,(1819h30(/(Kasimpasa(2) Features(and(prevalence(of(plagiarism(in biomedical(science

574 views • 20 slides
Insert Image if Alejandra Meglioli appropriate Senior Program Officer IPPF/WHR World Cancer

Insert Image if Alejandra Meglioli appropriate Senior Program Officer IPPF/WHR World Cancer

From choice, a world of possibilities Taking the Collaboration to Country Level: A UICC IPPF/WHR Example in Central America Insert Image if Alejandra Meglioli appropriate Senior Program Officer IPPF/WHR World Cancer Congress Montreal,

574 views • 10 slides
Recall the MDP Framework Slightly di ff erent notation this time S : Finite set of states of the

Recall the MDP Framework Slightly di ff erent notation this time S : Finite set of states of the

Recall the MDP Framework Slightly di ff erent notation this time S : Finite set of states of the world About this class A : Finite set of actions Partially Observable Markov Decision Processes T : S A ! ( S ): State transition function.

685 views • 4 slides
Hadronic light-by-light scatering from latice QCD Jeremy Green in collaboration with Nils

Hadronic light-by-light scatering from latice QCD Jeremy Green in collaboration with Nils

Hadronic light-by-light scatering from latice QCD Jeremy Green in collaboration with Nils Asmussen, Oleksii Gryniuk, Georg von Hippel, Harvey Meyer, Andreas Nyffeler, Vladimir Pascalutsa, Hartmut Witig Institut fr Kernphysik, Johannes

488 views • 31 slides
301AA - Advanced Programming Lecturer: Andrea Corradini andrea@di.unipi.it

301AA - Advanced Programming Lecturer: Andrea Corradini andrea@di.unipi.it

301AA - Advanced Programming Lecturer: Andrea Corradini andrea@di.unipi.it h;p://pages.di.unipi.it/corradini/ AP-03 : Languages and Abstract machines, Compila8on and interpreta8on schemes Outline Programming languages and abstract machines

703 views • 33 slides

More recommend