<div dir="auto">In that case shouldn't each company advertise a /21?</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, May 22, 2019, 1:11 PM Sabri Berisha <<a href="mailto:sabri@cluecentral.net">sabri@cluecentral.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div style="font-family:tahoma,new york,times,serif;font-size:10pt;color:#000000"><div>Hi,</div><div><br></div><div>One legitimate reason is the split of companies. In some cases, IP space needs to be divided up. For example, company A splits up in AA and AB, and has a /20. Company AA may advertise the /20, while the new AB may advertise the top or bottom /21. I know of at least one worldwide e-commerce company that is in that situation.</div><div><br></div><div>Thanks, <br><br>Sabri <br><br></div><br><span id="m_1849059120094948386zwchr">----- On May 22, 2019, at 9:40 AM, Tom Beecher <beecher@beecher.cc> wrote:<br></span><div><blockquote style="border-left:2px solid #1010ff;margin-left:5px;padding-left:5px;color:#000;font-weight:normal;font-style:normal;text-decoration:none;font-family:Helvetica,Arial,sans-serif;font-size:12pt"><div dir="ltr">There are sometimes legitimate reasons to have a covering aggregate with some more specific announcements. Certainly there's a lot of cleanup that many should do in this area, but it might not be the best approach to this issue. </div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, May 21, 2019 at 5:30 AM Alejandro Acosta <<a href="mailto:alejandroacostaalamo@gmail.com" target="_blank" rel="noreferrer">alejandroacostaalamo@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
On 5/20/19 7:26 PM, John Kristoff wrote:<br>
> On Mon, 20 May 2019 23:09:02 +0000<br>
> Seth Mattinen <<a href="mailto:sethm@rollernet.us" target="_blank" rel="noreferrer">sethm@rollernet.us</a>> wrote:<br>
><br>
>> A good start would be killing any /24 announcement where a covering<br>
>> aggregate exists.<br>
> I wouldn't do this as a general rule.  If an attacker knows networks are<br>
> 1) not pointing default, 2) dropping /24's, 3) not validating the<br>
> aggregates, and 4) no actual legitimate aggregate exists, (all<br>
> reasonable assumptions so far for many /24's), then they have a pretty<br>
> good opportunity to capture that traffic.<br>
<br>
<br>
+1 John<br>
<br>
Seth approach could be an option _only_ if prefix has an aggregate <br>
exists && as origin are the same<br>
<br>
<br>
> John<br>
</blockquote></div><br></blockquote></div></div></div></blockquote></div>