<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Title" content="">

<meta name="Keywords" content="">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:Calibri;

        color:windowtext;}

span.msoIns

        {mso-style-type:export-only;

        mso-style-name:"";

        text-decoration:underline;

        color:teal;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style>

</head>

<body bgcolor="white" lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Mark I absolutely agree. I advocate it to all my customers and our professional services teams.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">However it’s up to our customers to use those capabilities.

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Some customers have some very informative error pages and even submit trouble ticket hyperlinks that can be sent to a helpdesk.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">James.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><o:p> </o:p></span></p>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-family:Calibri;color:black">From: </span>

</b><span style="font-family:Calibri;color:black">Mark Smith <markzzzsmith@gmail.com><br>

<b>Date: </b>Wednesday, June 15, 2016 at 10:16 AM<br>

<b>To: </b>James Tin <jtin@akamai.com><br>

<b>Cc: </b>Chris Jones <chrisj@aprole.com>, Mal Everett <Mal.Everett@elmtree.com.au>, "ausnog@ausnog.net" <ausnog@ausnog.net><br>

<b>Subject: </b>Re: [AusNOG] AWS sites inaccessciible<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal">On 14 June 2016 at 21:50, Tin, James <<a href="mailto:jtin@akamai.com">jtin@akamai.com</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #B5C4DF 4.5pt;padding:0in 0in 0in 4.0pt;margin-left:3.75pt;margin-right:0in" id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE">

<div>

<p class="MsoNormal">Ding, Ding, Ding, we have a winner.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Chris is absolutely right here.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I am the principal enterprise security architect at Akamai and sometimes<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">glance thru this mailing list.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Mal,<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">These sites are delivered on Akamai and the reason why you are being blocked<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">is due to your current and or previous activity across sites delivered from<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">the Akamai platform. Otherwise known as Client Reputation. The website<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">owners have implemented a block policy to block clients with a poor track<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">record from accessing their site.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">There are currently 4 categories of bad actors Akamai detects with Client<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Reputation.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">1)       Web Attackers – Performed application layer attacks<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">2)       Scrapers – Non human traffic<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">3)       DoS Attackers – Participated in DDoS attacks<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">4)       Web Scanners – used automated penetration testing or vulnerability<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">testing tools.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">On the 06/06/2016 at 01:45:00 PM, your network sent 7982 requests in an<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">attempt to brute force ASP login pages across 1 different applications. Your<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">network has been categorized as a Web Attacker based on this history.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">So I would recommend that you perform penetration testing from a different<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">location from where you browse the internet. Or if you’re not familiar with<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">any penetration testing activity, then it is a sign of a compromised host in<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">your infrastructure.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">If your network is cleaned up or stop doing this activity, over the next<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">week or so and your client reputation score will automatically decay to zero<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">based on current decay for your network.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">If you have any questions, please see here<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><a href="https://community.akamai.com/community/cloud-security/blog/2016/4/19">https://community.akamai.com/community/cloud-security/blog/2016/4/19</a><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">You are welcome to ask any questions there.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</blockquote>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">It would be better to include some or all of the above in the access<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">denied error message so that people aren't wondering what the problem<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">is.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">(I don't think there is any excuse for terse error messages or just<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">error codes anymore - it's 2016, we have plenty of CPU, RAM and<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">bandwidth so we can afford to help make troubleshooting easier and<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">quicker. The developer seconds saved by being terse can multiply into<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">100s of hours of lost time to the developer's end-users, in particular<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">for Internet scale services like Akamai et. al.)<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Regards,<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Mark.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<blockquote style="border:none;border-left:solid #B5C4DF 4.5pt;padding:0in 0in 0in 4.0pt;margin-left:3.75pt;margin-right:0in" id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE">

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">James.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">From: Chris Jones <<a href="mailto:chrisj@aprole.com">chrisj@aprole.com</a>><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Date: Tuesday, June 14, 2016 at 11:57 AM<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">To: Mal Everett <<a href="mailto:Mal.Everett@elmtree.com.au">Mal.Everett@elmtree.com.au</a>><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Cc: "<a href="mailto:ausnog@ausnog.net">ausnog@ausnog.net</a>" <<a href="mailto:ausnog@ausnog.net">ausnog@ausnog.net</a>><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Subject: Re: [AusNOG] AWS sites inaccessciible<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">That looks suspiciously like an Akamai error message, and DNS certainly<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">points that way.  I’d have a chat to the Akamai team, if its happening to a<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">bunch of different (unrelated) sites.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Chris<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">On 14 Jun 2016, at 11:52 AM, Mal Everett <<a href="mailto:Mal.Everett@elmtree.com.au">Mal.Everett@elmtree.com.au</a>> wrote:<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Hi all,<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I have got a range of IPs that seemingly are "forbidden" (via a packet<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">capture) by AWS when trying to access websites like qantas.com.au and<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">danmuprhys.com.au<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Just scratching my head and wondering - "who do you call" ?<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">As an example in a browser we get<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Access Denied<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">You don't have permission to access "<a href="http://www.qantas.com.au/">http://www.qantas.com.au/</a>" on this<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">server.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Reference #18.e7c33b8.1465867681.e63677d<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Cheers<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Mal<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">DISCLAIMER:<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">This e-mail message may contain information which is<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">confidential to the message originator. If you have received this e-<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">mail by mistake, please advise us immediately by return e-mail<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">and delete this e-mail, including any attachments, from your<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">system. You may not disclose, copy or distribute any part of this e-<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">mail. Also, please note that the opinions expressed in this e-mail<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">are those of the author, and are not necessarily those of the<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">originators employer. Any concerns about the content of this email<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">should be immediately directed to <a href="mailto:Directors@elmtree.com.au">

Directors@elmtree.com.au</a>.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">This message and any attachments have been scanned for<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">viruses prior to leaving the originators network.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">_______________________________________________<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">AusNOG mailing list<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><a href="http://lists.ausnog.net/mailman/listinfo/ausnog">http://lists.ausnog.net/mailman/listinfo/ausnog</a><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">_______________________________________________<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">AusNOG mailing list<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><a href="http://lists.ausnog.net/mailman/listinfo/ausnog">http://lists.ausnog.net/mailman/listinfo/ausnog</a><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</blockquote>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</div>

</div>

</body>

</html>