<div dir="ltr">You can identify your infected users by looking for outbound scanning on port 23/tcp.  (The Dyn attack was from an IoT botnet which spreads via telnet default passwords.)<div><br></div><div>Damian</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Oct 22, 2016 at 6:48 PM, Charles Sprickman <span dir="ltr"><<a href="mailto:spork@bway.net" target="_blank">spork@bway.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I wanted to poke through our netflow data from Friday to see if any customers were involved.  Do we have any idea which Dyn IPs were being hit in the east coast attack?<br>
<br>
I’ve been poking around with sorting by packet count to UDP 53, but I’m not even sure this was an application level or volumetric attack.   Nothing is standing out (yet)…<br>
<br>
Thanks,<br>
<br>
Charles<br>
<span class="HOEnZb"><font color="#888888">--<br>
Charles Sprickman<br>
NetEng/SysAdmin<br>
Bway.net - New York's Best Internet <a href="http://www.bway.net" rel="noreferrer" target="_blank">www.bway.net</a><br>
<a href="mailto:spork@bway.net">spork@bway.net</a> - <a href="tel:212.982.9800" value="+12129829800">212.982.9800</a><br>
<br>
<br>
<br>
______________________________<wbr>_________________<br>
Outages-discussion mailing list<br>
<a href="mailto:Outages-discussion@outages.org">Outages-discussion@outages.org</a><br>
<a href="https://puck.nether.net/mailman/listinfo/outages-discussion" rel="noreferrer" target="_blank">https://puck.nether.net/<wbr>mailman/listinfo/outages-<wbr>discussion</a><br>
</font></span></blockquote></div><br></div>