<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 4 September 2016 at 11:14, Damian Menscher <span dir="ltr"><<a href="mailto:damian@google.com" target="_blank">damian@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><div class="h5"><br></div></div><div>To help me know what to look for, can someone give a sense of what "large" means?  Not sure if you're thinking 1Mpps or 100Mpps here. ;)</div></div></div></div></blockquote><div><br>Large is in the eye of the beholder, mostly based on his or her experience.  In the past, I've seen authoritative infrastructure I'm responsible for used to generate up to about 60Gb/s of outbound traffic toward a single victim.  I don't recall the PPS specifically, but it would be in the 10-20Mpps range probably.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><div>Also, it sounds like you're suggesting they find a single authoritative server to amplify off of, rather than distributing their attack across hundreds/thousands of domains?  That seems likely to limit their peak bandwidth unless the authoritative server is operated by a major provider, which may be why I never noticed this method.</div></div></div></div></blockquote><div><br></div><div>I haven't seen anyone suggest that.</div><div><br></div><div>It's been rare for me to have an opportunity to speak to the victims that my infrastructures have been aimed at, but in the one case that happened they reported they were seeing attacks from multiple sources.  From their point of view that likely means multiple authoritative infrastructures were being used to attack them.</div><div><br></div></div></div></div>