<html><head><meta http-equiv="Content-Type" content="text/html charset=iso-8859-1"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On Feb 26, 2013, at 6:25 AM, "Brzozowski, John Jason" &lt;<a href="mailto:jjmb@jjmb.com">jjmb@jjmb.com</a>&gt; wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr">"i<span style="font-family: arial, sans-serif; font-size: 15.833333015441895px; ">n our observation, 50-80% of traffic in 6to4 relay is {coming from,</span><br style="font-family: arial, sans-serif; font-size: 15.833333015441895px; ">
<span style="font-family: arial, sans-serif; font-size: 15.833333015441895px; ">going to} Teredo."</span><div><span style="font-family: arial, sans-serif; font-size: 15.833333015441895px; "><br>
</span></div><div style=""><span style="font-family: arial, sans-serif; font-size: 15.833333015441895px; ">Last I checked I believe this was also the case for us.</span></div></div><div class="gmail_extra"><br></div></blockquote></div><br><div><br></div><div>I did some simple monitoring of traffic over the last 12 hours to try to determine what was so much bandwidth. With the exception of probing deeper to see what ISC's name server was replying with, I was looking at headers only not packet contents.&nbsp;</div><div><br></div><div>Right now the average incoming data rate (v4 and v6) is approximately 350mbps.&nbsp;It seems to boil down to:</div><div><br></div><div>1) What looks like DNS amplification attacks. For example, I'm seeing&nbsp;2001:4f8:0:2::19 sending replies to a 6to4 address that look like an ANY response for something in the <a href="http://isc.org">isc.org</a> domain, which is returning large RRSIG results. Each result is ~4K spread across a bunch of packets. I'm guessing 6to4 is desirable for amplification attacks because of the additional overhead of 6to4 making the amplification greater. The v4 addresses these replies are going to seem to be all within a few /16 and /17 sized blocks, with the bottom 15-16 bits randomized.&nbsp;This is about 50mbps worth total.&nbsp;</div><div><br></div><div>2) HTTP traffic, going to v6 addresses in popular destinations like Facebook and Google's IP space. Another 50mbps or so. A small number of unique endpoints doing this, but they're moving a lot of data somehow.</div><div><br></div><div>3) A whole lot of ICMP echoes/replies. Another 10mbps worth.</div><div><br></div><div>4) Very little traffic to/from teredo space. Maybe 5mbps worth.</div><div><br></div><div>The remaining ~235mbps is not easily identifiable. If I had to guess it's Bittorrent, but very little interaction with Teredo.</div><div><br></div><div>Excluding the spraying of addresses in #1, I'm seeing about 3000 unique endpoints over a 60 second window.&nbsp;</div><div><br></div></body></html>