<div dir="ltr">One way to motivate people is to make them pay the consequences of their damage. So if we had processes to sheet home the cost of mitigation, it would very quickly pay (sorry) to not be one.<div><br></div><div>Another way to motivate people is to incent them. </div><div><br></div><div>Both of these things lie in the hands of regulators. Because as an industry we've trashed the concept of public utility regulation and claim industry self regulation as the norm, we now have a huge walk back to some sense of public interest in the process. The industry as a whole has no motivation to self-regulate here, demonstrated at this time.</div><div><br></div><div>If the regulators required that BCP38 was enacted to maintain (for example) common carrier legal defence status, I suspect people would do it in economies where they have it. Or, if access to bilats offshore demanded it, or a number of other places of potential pressure. Thats exactly how it works for other public utilities like gas and electricity. Much though I'd like to, I cannot just wire a pipe from my dogs bottom up to the town gas supply, there has to be a bit of paperwork first (I don't keep a dog btw. this is a hypothetical internet dog, as full of gas as I am)</div><div><br></div><div>Certainly, in the electricity supply business, not providing mandated voltage or current, or having unsafe wiring, winds up with unavoidable costs, and consequences. Maybe we need to think about that?</div><div><br></div><div>(for those of you not foaming at the mouth because I invoked the R- word, regulators do incent and obligate. They get their government to give tax offsets, subsidies, grants, and level playing fields)</div><div><br></div><div>But no. We pretend as technologists we know better, and can do better than anything else. Which we can't, but nobody ever let that get in the way of continuing to run the net just as we did, back when it was ARPAnet.</div><div><br></div><div>-G</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 21 December 2015 at 11:25, Joe Abley <span dir="ltr"><<a href="mailto:jabley@hopcount.ca" target="_blank">jabley@hopcount.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi there,<br>
<span class=""><br>
On Dec 20, 2015, at 20:10, Yonghua Peng <<a href="mailto:pyh@cloud-china.org">pyh@cloud-china.org</a>> wrote:<br>
<br>
> BCP 38 is nice, but it's a passive way of defense against DDoS.<br>
<br>
</span>I presume what you mean is that it's an absolute defence against<br>
attacks that rely upon being able to spoof source addresses.<br>
<br>
The trouble with BCP 38 is not its utility, but the fact that to date<br>
nobody has found a reliable way to motivate everybody to deploy it,<br>
for operationally-sufficient values of "everybody".<br>
<span class=""><br>
> There is a Chinese old saying, 靠人不如靠己.<br>
<br>
</span>You can lead a horse to water, but maybe it didn't come from where you<br>
thought it did and quite possibly it's not even a horse.<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
Joe<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations
dns-jobs" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations<br>
dns-jobs</a> mailing list<br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-jobs" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-jobs</a></div></div></blockquote></div><br></div>