<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body>
<div dir="auto" style="direction: ltr; margin: 0; padding: 0; font-family: sans-serif; font-size: 11pt; color: black; ">
Excellent questions, friends.<br>
</div>
<div dir="auto" style="direction: ltr; margin: 0; padding: 0; font-family: sans-serif; font-size: 11pt; color: black; ">
All the best in this time of covid and holidays!<br>
</div>
<div dir="auto" style="direction: ltr; margin: 0; padding: 0; font-family: sans-serif; font-size: 11pt; color: black; ">
George<br>
</div>
<div dir="auto" style="direction: ltr; margin: 0; padding: 0; font-family: sans-serif; font-size: 11pt; color: black; ">
Canada<span id="ms-outlook-android-cursor"></span></div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> anti-abuse-wg <anti-abuse-wg-bounces@ripe.net> on behalf of PP <phishphucker@storey.ovh><br>
<b>Sent:</b> Sunday, December 20, 2020 4:47:21 PM<br>
<b>To:</b> anti-abuse-wg@ripe.net <anti-abuse-wg@ripe.net><br>
<b>Subject:</b> Re: [anti-abuse-wg] AS28753 - Leaseweb Deutschland GmbH -- Facilitating legacy squatting?</font>
<div> </div>
</div>
<div class="BodyFragment"><font size="2"><span style="font-size:11pt;">
<div class="PlainText">Does anyone else find it crazy that without Mr Guilmette, this would all
<br>
go un-noticed?<br>
<br>
Why does RIPE not employ its own researchers doing what he is doing?<br>
<br>
and more importantly, how much of this crap is occurring that even he <br>
himself has not yet noticed?<br>
<br>
<br>
<br>
On 21/12/2020 11:16 am, Ronald F. Guilmette wrote:<br>
> In the period from 2020-12-04 until 2020-12-10 someone representing<br>
> AS28753 - Leaseweb Deutschland GmbH, or someone purporting to represent<br>
> that ASN/company created a set of thirteen (13) new route: entries in<br>
> the security-free RADB data base:<br>
><br>
> <a href="https://pastebin.com/raw/qs9yywFe">https://pastebin.com/raw/qs9yywFe</a><br>
><br>
> It appears somewhat more than coincidental that many of these new RADB<br>
> route entries refer to either(a) legacy IPv4 address blocks in the ARIN<br>
> region or else (b) unassigned (bogon) IPv4 address space in the ARIN<br>
> region.<br>
><br>
> A listing of the relevant IPv4 cidrs along with the top-level allocation<br>
> holders for each CIDR is given in the following table:<br>
><br>
> <a href="https://pastebin.com/raw/rnqMXHW0">https://pastebin.com/raw/rnqMXHW0</a><br>
><br>
> Although there is some ambiguity regarding the status of the non-US/non-ARIN<br>
> blocks listed in the above table, my inspection of the relevant WHOIS<br>
> records for the US/ARIN blocks indicates to me that these are all either<br>
> (a) abandoned IPv4 legacy blocks or else (b) unassigned ARIN bogons.  This<br>
> strongly suggests that all of the IPv4 address blocks named in all of the<br>
> relevant RADB rote entries may be, and likely are being squatted on at the<br>
> present time.<br>
><br>
> Please note however that AS28753 - Leaseweb Deutschland GmbH - is not<br>
> itself doing any of the squatting.  Rather, the squatting is being<br>
> undertaken by the various ASNs mention in the following active routing<br>
> summary:<br>
><br>
> 62.182.160.0/21    AS39325   RU  Viptelecom LLC<br>
> 79.173.104.0/21    AS13259   RU  Delta Telesystems Ltd.<br>
> 85.28.48.0/20      AS13259   RU  Delta Telesystems Ltd.<br>
> 85.89.104.0/21     AS13259   RU  Delta Telesystems Ltd.<br>
> 89.187.8.0/21      AS41762   UA  PE Logvinov Vladimir Vladimirovich<br>
> 91.229.148.0/22    AS56968   KZ  TemirLan Net Ltd<br>
> 128.0.80.0/20      AS34498   RU  Jilcomservice<br>
> 199.61.32.0/19     AS9009    GB  M247 Ltd<br>
> 204.229.64.0/19    AS10650   US  Extreme Internet<br>
> 205.134.96.0/19    AS10650   US  Extreme Internet<br>
> 205.148.96.0/19    AS397373  US  H4Y Technologies LLC<br>
> 209.151.96.0/19    AS9009    GB  M247 Ltd<br>
> 216.93.0.0/19      AS9009    GB  M247 Ltd<br>
><br>
> Note that AS10650 (Extreme Internet) is itself a legacy abandoned ARIN<br>
> ASN.  It is likely also squatted.  It's one and only current upstream,<br>
> according to bgp.he.net, is AS13259 - Delta Telesystems Ltd. (Russia).<br>
><br>
> In fact, all of the following ASNs from the above table also have AS13259,<br>
> Delta Telesystems Ltd. (Russia) as their one and only upstream at the<br>
> present time:<br>
><br>
> AS39325 - Viptelecom LLC<br>
> AS41762 - PE Logvinov Vladimir Vladimirovich<br>
> AS56968 - TemirLan Net Ltd<br>
> AS34498 - Jilcomservice<br>
> AS1065  - Extreme Internet<br>
><br>
> On this basis it would appear that the root of the problem in this case<br>
> lies at AS13259, Delta Telesystems Ltd. (Russia).<br>
><br>
> As a mitigation for these squats, I recommend dropping/blocking all of<br>
> the IPv4 CIDRs listed above.  Additionally, since AS13259 appears to<br>
> be highly untrustworth at the present time. I would advise blocking<br>
> all traffic to/from these blocks also:<br>
><br>
> <a href="https://bgp.he.net/AS13259#_prefixes">https://bgp.he.net/AS13259#_prefixes</a><br>
><br>
> 79.173.104.0/21<br>
> 82.147.68.0/24<br>
> 82.147.70.0/24<br>
> 82.147.71.0/24<br>
> 82.147.75.0/24<br>
> 85.28.48.0/20<br>
> 85.89.104.0/21<br>
> 91.206.16.0/23<br>
> 193.107.92.0/22<br>
> 2001:678:68c::/48<br>
><br>
><br>
> Regards,<br>
> rfg<br>
><br>
<br>
</div>
</span></font></div>
</body>
</html>