<div>Me, too: 4 on 178.16.208.0/24 and 10 on  217.12.223.0/24<br></div><div><br></div><div class="protonmail_signature_block"><div class="protonmail_signature_block-user protonmail_signature_block-empty"><br></div><div class="protonmail_signature_block-proton">Sent with <a href="https://protonmail.com">ProtonMail</a> Secure Email.<br></div></div><div><br></div><blockquote class="protonmail_quote" type="cite"><div>-------- Original Message --------<br></div><div>Subject: Re: [tor-relays] DoS attacks on multiple relays<br></div><div>Local Time: December 5, 2017 7:00 AM<br></div><div>UTC Time: December 5, 2017 12:00 PM<br></div><div>From: valter.jansons@gmail.com<br></div><div>To: tor-relays@lists.torproject.org<br></div><div><br></div><div dir="ltr"><div>A little relay node of a consensus around 220 checking in here. I am seeing pretty much the same as others are reporting - 11 on <a href="http://188.214.30.0/24">188.214.30.0/24</a> and 10 on <a href="http://217.12.223.0/24">217.12.223.0/24</a>.<br></div><div>The AS is called THC Projects SRL. They seem to provide VPS hosting among other things and <a href="https://ipinfo.io/AS51177#domains">ipinfo.io/AS51177</a> reports that they host a lot of domains over there as well.<br></div><div>Not sure how seriously one should take this, but it's interesting for sure regardless.<br></div><div><br></div><div>-- 4096R/A83CE748 Valters Jansons<br></div></div><div><br></div><div class="gmail_quote"><div dir="ltr">On Tue, Dec 5, 2017 at 1:50 PM x9p <<a href="mailto:tor@x9p.org">tor@x9p.org</a>> wrote:<br></div><blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex" class="gmail_quote"><div><br></div><div>my second and third positions are similar:<br></div><div> <br></div><div>       9 <a rel="noreferrer" href="http://217.12.223.0/24">217.12.223.0/24</a> (family and contact info set)<br></div><div>       8 <a rel="noreferrer" href="http://178.16.208.0/24">178.16.208.0/24</a> (family and contact info set, too)<br></div><div> <br></div><div> <br></div><div> > Interesting to see. I have similar stats. 10 connections from<br></div><div> > <a rel="noreferrer" href="http://188.214.30.0/24">188.214.30.0/24</a>, second up 8 connections from <a rel="noreferrer" href="http://178.16.208.0/24">178.16.208.0/24</a>. Thanks!<br></div><div> ><br></div><div> > On Tue, Dec 5, 2017 at 4:27 PM, x9p <<a href="mailto:tor@x9p.org">tor@x9p.org</a>> wrote:<br></div><div> ><br></div><div> >><br></div><div> >> first measure on a good day how many connection per /24 your exit/relay<br></div><div> >> have, excluding these with 1 2 or just 3 connections:<br></div><div> >><br></div><div> >> # netstat -tupan | grep ESTABLISHED | grep /tor | awk '{print $5}' | awk<br></div><div> >> -F: '{print $1}' | awk -F. '{print $1"."$2"."$3}' | sort | uniq -c |<br></div><div> >> sort<br></div><div> >> | egrep -v '      1 |      2 |      3 '<br></div><div> >><br></div><div> >> with this information in hand, double the max of it (mine was 10<br></div><div> >> connections from <a rel="noreferrer" href="http://188.214.30.0/24">188.214.30.0/24</a>):<br></div><div> >><br></div><div> >>      10 188.214.30<br></div><div> >><br></div><div> >> iptables -A INPUT -i eth0 -p tcp -m connlimit --connlimit-above 20<br></div><div> >> --connlimit-mask 24 -j REJECT --reject-with tcp-reset<br></div><div> >><br></div><div> >> cheers.<br></div><div> >><br></div><div> >> x9p<br></div><div> >><br></div><div> >> >> connlimit per /24. it does more good than evil.<br></div><div> >> ><br></div><div> >> > Any guidance on the specifics? Like how many concurrent connections to<br></div><div> >> > allow per /24? Not sure what's expected from legitimate user traffic<br></div><div> >> > through the relay... don't want to make things worse.<br></div><div> >> > _______________________________________________<br></div><div> >> > tor-relays mailing list<br></div><div> >> > <a href="mailto:tor-relays@lists.torproject.org">tor-relays@lists.torproject.org</a><br></div><div> >> > <a rel="noreferrer" href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a><br></div><div> >> ><br></div><div> >><br></div><div> >><br></div><div> >> _______________________________________________<br></div><div> >> tor-relays mailing list<br></div><div> >> <a href="mailto:tor-relays@lists.torproject.org">tor-relays@lists.torproject.org</a><br></div><div> >> <a rel="noreferrer" href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a><br></div><div> >><br></div><div> ><br></div><div> ><br></div><div> ><br></div><div> > --<br></div><div> > Regardless, I hope you're well and happy -<br></div><div> > Aneesh<br></div><div> > _______________________________________________<br></div><div> > tor-relays mailing list<br></div><div> > <a href="mailto:tor-relays@lists.torproject.org">tor-relays@lists.torproject.org</a><br></div><div> > <a rel="noreferrer" href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a><br></div><div> ><br></div><div> <br></div><div> <br></div><div> _______________________________________________<br></div><div> tor-relays mailing list<br></div><div> <a href="mailto:tor-relays@lists.torproject.org">tor-relays@lists.torproject.org</a><br></div><div> <a rel="noreferrer" href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a><br></div></blockquote></div></blockquote><div><br></div>