Если все доказательства, которые вы собрали, - это поток пакетов с исходными IP-адресами от одной конкретной AS, вы, скорее всего, сделали неверный вывод. Более вероятным объяснением будет то, что эти исходные IP-адреса являются поддельными.
Атака отражения / усиления включает в себя отправку большого количества пакетов, подделывающих исходный IP-адрес жертвы. Если это действительно то, что происходит, и в вашей сети есть серверы, которые могут усилить атаку, то сеть, которую вы обвиняете в атаке, на самом деле является жертвой, и вы помогаете атакующему.
В такой ситуации решение состоит не в том, чтобы применять какой-либо вид трафика, а в том, чтобы сконфигурировать ваши серверы таким образом, чтобы они не могли использоваться в атаке усиления. Как это сделать - не вопрос сетевой инженерии.
Конечно, возможно, что все пакеты происходят из одной AS. С помощью взаимодействующей AS вы можете получить подтверждение того, что пакеты на самом деле происходят из их AS. Однако при таком уровне сотрудничества вы также можете заблокировать атаку у источника.
Если мы предполагаем, что у вас есть какой-то метод, который я не думал о получении подтверждения, что пакеты действительно исходят от AS, который вы считаете, и что вы не можете заблокировать его в источнике, а вместо этого хотите заблокировать его посредством BGP, тогда я прочитал о несколько рискованном методе для достижения этой цели. Идея состоит в том, что вы добавляете путь AS к маршруту, который вы объявляете. В этом предварительно добавленном пути AS вы включаете номер AS источника этих пакетов.
Когда объявление достигает маршрутизаторов BGP в вызывающей AS, они собираются обнаружить цикл и отбросить объявление. Между тем остальной мир не увидит петли и не примет объявление.
Это теория. Будет ли это работать на практике, зависит от нескольких факторов. Например, это зависит от фактического использования номера AS, из которого исходят пакеты, который может отличаться от номера AS, объявляющего эти IP-адреса. (Такая разница может быть законной или из-за подмены.)
Это также зависит от того, будет ли восходящий поток не фильтровать маршрут, если они находят путь AS подозрительным. Более того, сети, удаленные от вас, могут также отбросить ваш маршрут, например, если у них также был плохой опыт работы с нарушающей AS и они решили отбросить все маршруты оттуда.
Это ваш вызов, стоит ли этот подход риска.
(Я бы связался с источником для этого подхода, если бы мог найти его снова.)