<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Apr 20, 2020 at 9:09 PM Randy Bush <<a href="mailto:randy@psg.com">randy@psg.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">but it provides almost zero protection against malicious attack.  the<br>
attacker merely has to prepend (in the formal, not cisco display) the<br>
'correct' origin AS to their malicious announcement.<br><br></blockquote><div><br></div><div>Yes but that makes the hijacked AS path length at least 1 longer which makes it less likely that it can win over the true announcement. It is definitely better than nothing.</div><div><br></div><div>Also AS number filtering might be more prevalent than prefix filtering. If I know which origin ASNs I can accept from a peer and filter on that, then RPKI will prevent them from faking protected prefixes.</div><div><br></div><div>Regards,</div><div><br></div><div>Baldur</div><div><br></div><div> </div></div></div>