<DIV>I agree with Pauls' position on anti-spoofing, without that, you are fighting A</DIV>
<DIV>losing battle.</DIV>
<DIV> </DIV>
<DIV>Henry R Linneweh<BR><BR><B><I>Paul Vixie <vixie@vix.com></I></B> wrote:</DIV>
<DIV>
<BLOCKQUOTE style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #1010ff 2px solid; WIDTH: 100%"><BR>> Filtering the bogons does help, and everyone should perform anti-spoofing<BR>> in the appropriate places. It isn't, however, a silver bullet.<BR><BR>it's necessary but not sufficient. but if we knew the source addresses were<BR>authentic, then some pressure on the RIRs to make address block holders<BR>reachable would yield entirely new echelons of accountability.<BR><BR>with the current anonymity of ddos sources, it's not possible to file a class<BR>action lawsuit against suppliers of the equipment, or software, or services<BR>which make highly damaging ddos's a fact of life for millions of potential<BR>class members.<BR><BR>so please focus on "anti-spoofing"'s *necessity* and not on the fact that by<BR>itself it won't be sufficient. "anti-spoofing" will enable solutions which<BR>are completely beyond consideration at this time.<BR><BR>(we'll know the tide has turned when
 BCP38 certifications for ISPs are<BR>available from the equivilent of "big 8" ("big 2" now?) accounting firms,<BR>and these certifications will be prerequisite to getting BGP set up.)<BR>-- <BR>Paul Vixie</BLOCKQUOTE></DIV>