<div><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, May 20, 2019 at 5:59 PM Seth Mattinen <<a href="mailto:sethm@rollernet.us">sethm@rollernet.us</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 5/20/19 4:26 PM, John Kristoff wrote:<br>
> On Mon, 20 May 2019 23:09:02 +0000<br>
> Seth Mattinen<<a href="mailto:sethm@rollernet.us" target="_blank">sethm@rollernet.us</a>>  wrote:<br>
> <br>
>> A good start would be killing any /24 announcement where a covering<br>
>> aggregate exists.<br>
> I wouldn't do this as a general rule.  If an attacker knows networks are<br>
> 1) not pointing default, 2) dropping /24's, 3) not validating the<br>
> aggregates, and 4) no actual legitimate aggregate exists, (all<br>
> reasonable assumptions so far for many /24's), then they have a pretty<br>
> good opportunity to capture that traffic.<br>
<br>
<br>
I'm talking about the case where someone has like a /20 and announces <br>
the /20 plus every /24 it contains. I regard those as garbage announcements.</blockquote><div dir="auto"><br></div><div dir="auto">The lesson for all is — do not expect /24s to reach all edges.  People have been doing this since we hit 512k routes, and will do it more often, regardless of how much shade you throw on this mailer. </div><div dir="auto"><br></div><div dir="auto">Like NAT, this is another way that IPv4 is buckling</div><div dir="auto"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
</blockquote></div></div>