<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Jun 2, 2014 at 6:49 AM, Livingood, Jason <span dir="ltr"><<a href="mailto:Jason_Livingood@cable.comcast.com" target="_blank">Jason_Livingood@cable.comcast.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="word-wrap:break-word;color:rgb(0,0,0);font-size:16px;font-family:Calibri,sans-serif"><div class="">
<div>
<div>
<div>On 5/30/14, 10:09 PM, "Damian Menscher" <<a href="mailto:damian@google.com" target="_blank">damian@google.com</a>> wrote:</div>
</div>
</div>
<span>
<blockquote style="BORDER-LEFT:#b5c4df 5 solid;PADDING:0 0 0 5;MARGIN:0 0 0 5">
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">
<div>Attacks at this scale are beyond the capabilities of most organizations, so you should always do your part to identify and dismantle the botnet infrastructure when possible.  Collecting a list of participating IPs and notifying their abuse contacts helps.</div>


</div>
</div>
</div>
</blockquote>
</span>
<div><br>
</div>
</div><div>ICANN’s SSAC recently released a document on this @ <a href="https://www.icann.org/en/system/files/files/sac-065-en.pdf" target="_blank">https://www.icann.org/en/system/files/files/sac-065-en.pdf</a></div></div>

</blockquote><div><br></div><div>To clear up a potential misinterpretation: I recommend contacting owners of participating IPs only in cases where those IPs are infected.  The referenced document describes cleaning up open resolvers, and I take the controversial view that doing so is a fool's errand: even if we're wildly successful and clean 95% of them, that still leaves a million for the attackers to abuse, resulting in no practical improvement for the victims.  My preferred approach is to identify and remediate networks that permit source-address spoofing in violation of BCP38, as there are far fewer choke-points, and incremental progress makes the attacker's job progressively more difficult (as they have to find connectivity among a dwindling set of irresponsible providers).</div>

<div><br></div><div>Damian</div></div></div></div>