<html><head>

<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">

</head><body bgcolor="#FFFFFF" text="#000000">...<br>

<br>

Patrick, Robert (CONTR) wrote:

<blockquote 

cite="mid:6552F588AF5063498DEF42D0DCF684ED7F343EA875@ESCE-EVS-01.doe.local"

 type="cite">

  <pre wrap="">I'm looking forward to rate-limiting first included in the main releases of market-leading software implementations, allowing operators to enable defenses without separate patches, and subsequently have those features enabled by default after positive feedback.  </pre>

</blockquote>

<br>

nevertheless i think it's very cool that the freebsd "ports" maintainer 

for BIND9 has made RRL a configurable option.<br>

<br>

<blockquote 

cite="mid:6552F588AF5063498DEF42D0DCF684ED7F343EA875@ESCE-EVS-01.doe.local"

 type="cite">

There are cases where villagers took action against shepherds directly 

in response to the Commons overrun by flocks, obviating the need of 

written law until much later.  Written law is an abstract to have a 

governing body punish others for matters which outmatch an individual's 

resources.  Better to empower individuals than become too dependent upon

 overly powerful governing bodies.

</blockquote>

<br>

the analogy fails here. on the internet, every network-to-network 

connection adds to everybody else's commons. as the founder of MAPS, 

which was the first anti-spam company, i could tell you some stories of 

exactly why one person's right to swing their fist ends at the point of 

another person's chin. but, that would digress.<br>

<pre wrap="">

</pre>

<blockquote 

cite="mid:6552F588AF5063498DEF42D0DCF684ED7F343EA875@ESCE-EVS-01.doe.local"

 type="cite">

  <pre wrap="">...

Given that industry self regulation hasn't reduced spoofing to zero isn't a failure, neither is all law a failure.</pre>

</blockquote>

<br>

binary filters (failure or not a failure) aren't useful here. what's 

happened is that clouds and virtual hosting have dramatically increased 

the attack surface. millions of poorly trained amateurs are now 

responsible for "kvm" environment running now-outdated operating systems

 and unpatched web servers and unpatched web-app frameworks. by service 

definition, the operators of the upstream networks have no insight or 

control over what's running. by economics, the operators of these 

upstream networks can neither act on complaints, nor monitor outflow, 

nor run BCP38 ingress filtering on their customer facing interfaces. 

self regulation won't be fixing that. law might.<br>

<br>

if all industry self regulation hadn't done was reduce spoofing i'd be 

willing to entertain arguments that industry self regulation had not 

failed. since what's actually happened is a well capitalized world wide 

expansion of gigabit connected spoof generators, i am willing to say 

that in this case, industry self regulation has, abjectly, failed.<span 

style="font-family: monospace;"><br>

  <br>

paul<br>

</span></body></html>