<html><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">
</head><body bgcolor="#FFFFFF" text="#000000">...<br>
<br>
Patrick, Robert (CONTR) wrote:
<blockquote 
cite="mid:6552F588AF5063498DEF42D0DCF684ED7F343EA875@ESCE-EVS-01.doe.local"
 type="cite">
  <pre wrap="">I'm looking forward to rate-limiting first included in the main releases of market-leading software implementations, allowing operators to enable defenses without separate patches, and subsequently have those features enabled by default after positive feedback.  </pre>
</blockquote>
<br>
nevertheless i think it's very cool that the freebsd "ports" maintainer 
for BIND9 has made RRL a configurable option.<br>
<br>
<blockquote 
cite="mid:6552F588AF5063498DEF42D0DCF684ED7F343EA875@ESCE-EVS-01.doe.local"
 type="cite">
There are cases where villagers took action against shepherds directly 
in response to the Commons overrun by flocks, obviating the need of 
written law until much later.  Written law is an abstract to have a 
governing body punish others for matters which outmatch an individual's 
resources.  Better to empower individuals than become too dependent upon
 overly powerful governing bodies.

</blockquote>
<br>
the analogy fails here. on the internet, every network-to-network 
connection adds to everybody else's commons. as the founder of MAPS, 
which was the first anti-spam company, i could tell you some stories of 
exactly why one person's right to swing their fist ends at the point of 
another person's chin. but, that would digress.<br>
<pre wrap="">
</pre>
<blockquote 
cite="mid:6552F588AF5063498DEF42D0DCF684ED7F343EA875@ESCE-EVS-01.doe.local"
 type="cite">
  <pre wrap="">...
Given that industry self regulation hasn't reduced spoofing to zero isn't a failure, neither is all law a failure.</pre>
</blockquote>
<br>
binary filters (failure or not a failure) aren't useful here. what's 
happened is that clouds and virtual hosting have dramatically increased 
the attack surface. millions of poorly trained amateurs are now 
responsible for "kvm" environment running now-outdated operating systems
 and unpatched web servers and unpatched web-app frameworks. by service 
definition, the operators of the upstream networks have no insight or 
control over what's running. by economics, the operators of these 
upstream networks can neither act on complaints, nor monitor outflow, 
nor run BCP38 ingress filtering on their customer facing interfaces. 
self regulation won't be fixing that. law might.<br>
<br>
if all industry self regulation hadn't done was reduce spoofing i'd be 
willing to entertain arguments that industry self regulation had not 
failed. since what's actually happened is a well capitalized world wide 
expansion of gigabit connected spoof generators, i am willing to say 
that in this case, industry self regulation has, abjectly, failed.<span 
style="font-family: monospace;"><br>
  <br>
paul<br>
</span></body></html>