<html><head><meta http-equiv="Content-Type" content="text/html charset=iso-8859-1"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Dear all,<br><br>In response to the mails regarding complaints to the RIPE NCC about<br>LIRs, I'd like to clarify the situation and explain our procedures.<br><br>The RIPE NCC has a clear and documented procedure for auditing its<br>members and for handling reports relating to violations of RIPE Policy<br>and RIPE NCC procedures. This procedure was developed in close<br>consultation with the RIPE community. We adhere to our official<br>reporting procedure and use a standard report form, which makes it easy<br>for the reporter to make a complaint and for the RIPE NCC to handle the<br>report.<br><br>Any subsequent actions must remain confidential and are solely between<br>the RIPE NCC and the party subject to investigation. The results of any<br>investigation are not made public to the reporting party or to the RIPE<br>NCC membership as a whole.<br><br>The reporting procedure, as well as a link to the report form, is<br>available at:<br><a href="http://www.ripe.net/contact/reporting-procedure">http://www.ripe.net/contact/reporting-procedure</a><br><br>Finally, I would like to assure members that the RIPE NCC adheres<br>strictly to RIPE Policy in all its actions. A related RIPE Policy<br>Proposal 2013-01, "Openness About Policy Violations", was today<br>withdrawn from the Policy Development Process (PDP) by the proposers. A<br>link to proposal itself as well as the proposers' reason for withdrawal<br>are available at:<br><a href="http://www.ripe.net/ripe/mail/archives/anti-abuse-wg/2013-November/002528.html">http://www.ripe.net/ripe/mail/archives/anti-abuse-wg/2013-November/002528.html</a><br><br>I hope this clarifies matters, but if you have further questions please<br>don't hesitate to contact me.<br><br>Regards,<br><br>Andrew de la Haye<br>Chief Operations Officer<br>RIPE NCC<div><br></div><div><br></div><div><br><div><div>On Nov 22, 2013, at 2:39 PM, Henrik Kramsh�j Solido NOC abuse <<a href="mailto:noc@solido.net">noc@solido.net</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><br>On 22/11/2013, at 13.47, Alexandr Gurbo <<a href="mailto:a.gurbo@severen.net">a.gurbo@severen.net</a>> wrote:<br><br><blockquote type="cite">Sascha Luck,<br><br>You are really believe, that so large ip addresses Mr Lu used in so small period of time??? Wake up!<br><br>This is only large blocks as said topic starter.<br>5.224.0.0/15  - RIPE - 131.070 IPs - 2012.09<br>5.132.0.0/16  - RIPE - 65.534 IPs  - 2012.07<br>37.222.0.0/15 - RIPE - 131.070 IPs - 2012.04<br>31.201.0.0/16 - RIPE - 65.534 IPs  - 2011.04<br>46.136.0.0/16 - RIPE - 65.534 IPs  - 2010.11<br><br>Try it for yourself to explore for example block 5.224.0.0/15. Traces, announces, netnames, etc,...<br>I see only country code changed in different subnets from this block: GB, SE, SG, ... It looks like the resources in reserve.<br></blockquote><br>I did a quick look using asused, and it seem there are whois records - they are very generic and by /24, and the sum is:<br><br>Detail of allocation(s)<br>------------------------------------------------------------------------------<br> Range             Database Allocation                  a s s i g n e d<br>                                                     %      No.    free  total<br>------------------------------------------------------------------------------<br>31.201.0.0/16   31.201.0.0 - 31.201.255.255         0.0%       0  65536  65536<br>37.222.0.0/15   37.222.0.0 - 37.223.255.255       100.0%  131072      0 131072<br>46.136.0.0/16   46.136.0.0 - 46.136.255.255       100.0%   65536      0  65536<br>5.132.0.0/16    5.132.0.0 - 5.132.255.255          75.4%   49408  16128  65536<br>5.224.0.0/15    5.224.0.0 - 5.225.255.255         100.0%  131072      0 131072<br>------------------------------------------------------------------------------<br><br>I have no reason to believe currently that RIPE would treat Mr H.Lu any different from the rest, so I guess there is supporting evidence from the processing of those requests. I would like this matter to go back to RIPE, which due to this thread would be quite arrogant if NOT performing an audit. So perform an audit, and process this like any other reported ticket.<br><br>I can confirm Mr H. Lu was at RIPE65 in Amsterdam, and we did talk a bit during the social and he is "available" for talking.<br>Full-disclosure, I have not done business with him or know him more than this.  <br><br>and FWIW below are some show routes from our active core router.<br><br>I gather:<br>The networks ARE being announced on the internet, and I receive them from multiple providers<br>such as AS1299 Telia, AS174 Cogent so if this is a fraudulent network it at least has ISP's providing connectivity.<br><br>hlk@MX-CPH-01> show route 31.201.0.0/16 table i.inet.0<br><br>i.inet.0: 468863 destinations, 1373449 routes (467423 active, 15 holddown, 468196 hidden)<br>+ = Active Route, - = Last Active, * = Both<br><br>31.201.0.0/16      *[BGP/170] 2d 13:19:16, MED 912080, localpref 110<br>                      AS path: 174 35916 35916 I<br><blockquote type="cite">to 149.6.136.29 via xe-0/1/1.0<br></blockquote>                    [BGP/170] 11w0d 05:18:54, localpref 110, from 94.126.183.247<br>                      AS path: 1299 3561 35916 I<br><blockquote type="cite">to 94.126.176.27 via ae2.35<br></blockquote>31.201.128.0/17    *[BGP/170] 2d 13:19:16, MED 912080, localpref 110<br>                      AS path: 174 35916 35916 I<br><blockquote type="cite">to 149.6.136.29 via xe-0/1/1.0<br></blockquote>                    [BGP/170] 11w0d 05:18:54, localpref 110, from 94.126.183.247<br>                      AS path: 1299 3561 35916 I<br><blockquote type="cite">to 94.126.176.27 via ae2.35<br></blockquote><br>hlk@MX-CPH-01> show route 37.222.0.0/15 table i.inet.0<br><br>i.inet.0: 468848 destinations, 1373598 routes (467422 active, 1 holddown, 468190 hidden)<br>+ = Active Route, - = Last Active, * = Both<br><br>37.222.0.0/15      *[BGP/170] 11w0d 05:19:12, localpref 150, from 94.126.183.247<br>                      AS path: 1299 16276 I<br><blockquote type="cite">to 94.126.176.27 via ae2.35<br></blockquote>                    [BGP/170] 2d 13:19:35, MED 774040, localpref 110<br>                      AS path: 174 16276 I<br><blockquote type="cite">to 149.6.136.29 via xe-0/1/1.0<br></blockquote>37.222.128.0/17    *[BGP/170] 2d 13:19:34, MED 912080, localpref 110<br>                      AS path: 174 35916 35916 I<br><blockquote type="cite">to 149.6.136.29 via xe-0/1/1.0<br></blockquote>                    [BGP/170] 11w0d 05:19:12, localpref 110, from 94.126.183.247<br>                      AS path: 1299 3561 35916 I<br><blockquote type="cite">to 94.126.176.27 via ae2.35<br></blockquote><br>I did check the others, and you can perform your own investigations using RIPEstat?<br><br><br>Best regards<br><br>Henrik<br><br>--<br>Henrik Lund Kramsh�j, Follower of the Great Way of Unix<br>internet samurai cand.scient CISSP<br><a href="mailto:hlk@kramse.org">hlk@kramse.org</a> <a href="mailto:hlk@solidonetworks.com">hlk@solidonetworks.com</a> +45 2026 6000 <br><a href="http://solidonetworks.com/">http://solidonetworks.com/</a> Network Security is a business enabler<br><br><br>----<br>If you don't want to receive emails from the RIPE NCC members-discuss<br>mailing list, please log in to your LIR Portal account and go to the general page:<br><a href="https://lirportal.ripe.net/general/view">https://lirportal.ripe.net/general/view</a><br><br>Click on "Edit my LIR details", under "Subscribed Mailing Lists". From here, you can add or remove addresses.<br><br></blockquote></div><br></div></body></html>