<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Dec 8, 2015 at 12:19 PM, Paul Vixie <span dir="ltr"><<a href="mailto:paul@redbarn.org" target="_blank">paul@redbarn.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><u></u>
<div style="font-family:'Droid Sans Mono';font-size:10pt;font-weight:400;font-style:normal"><span class="">
<p style="margin:0px;text-indent:0px">On Tuesday, December 08, 2015 05:04:59 PM Jim Reid wrote:</p>
<p style="margin:0px;text-indent:0px"><br></p></span><span class="">
<p style="margin:0px;text-indent:0px">> One approach which might be worth trying is to reward BCP38 adopters. For</p>
<p style="margin:0px;text-indent:0px">> instance, by offering them better terms at IXPs than those who don't do</p>
<p style="margin:0px;text-indent:0px">> BCP38 or pulling the plug on those who can't/won't do BCP38. Though that</p>
<p style="margin:0px;text-indent:0px">> approach suffers from the same externality: why should IXP A do this when</p>
<p style="margin:0px;text-indent:0px">> IXP B isn't?</p>
<p style="margin:0px;text-indent:0px"> </p>
</span><p style="margin:0px;text-indent:0px">right. this can't work for the same reason MLPA's aren't universally used.</p>
<p style="margin:0px;text-indent:0px"><span style="font-size:10pt"></span></p></div></blockquote><div><br></div><div>Maybe we should be emphasizing which major operators <i>are</i> implementing it? Proving this can be tricky (as has been touched on), but if we assume by default that BCP-38 is not implemented (a safe assumption) and treat this as an opt-in initiative, a website presenting this might help drive the right kind of attention to the matter. Sometimes it's easier to make a case to executives when you can present a shiny infographic of companies who are doing what they're supposed to, and present that alongside a list of things which people are proposing be done to those who don't join in. For the companies who already implement this it's a free pat on the back.<br></div><div><br></div><div>Yes, it's difficult to prove that they're actually doing it from outside of their network. Yes, even if there was a token effort to have operators run a validation script, there's nothing to stop people from being petty and commenting out the lines that generate packets which should not leave the network. I still think it's a step in the right direction, and if that same website were to provide some information for how tech savvy end users can participate in validation it would help to keep the involved parties honest.</div><div><br></div><div><br></div><div>Caveats:</div><div>* End user testing would require a remotely listening program be operated that can see the user generated packets escaping the network. There would need to be some pre-negotiation in order to differentiate the user traffic from other spoofed traffic that it sees. Considering the ease at which false positives could be "submitted" (even if TCP were used to try and validate the source network behind a given test), the main value of such a toolchain would be heightened grass roots awareness of whether a user's own ISPs implements BCP-38. Let's not spend too much list discussion on the particulars of this piece, I'd rather us focus on the other details.</div><div>* It's pretty much a given that such a website and the associated listener program (if implemented) would be eating DDoS attacks from the enemies of this initiative. Hosting would need to be designed with this in mind from the ground up.</div><div>* Any imminently obvious flaws in this idea that stem from my ignorance or brainstorming when someone is two hours late for lunch.</div><div><br></div></div></div></div>