<div dir="ltr">Bill said, <div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-im" style="color:rgb(80,0,80)">> Is this seen as route table pollution, or a necessary evil in today's world?<br><br></span>Pollution. And it won't save you from a hijack either, since your<br>adversary's /24 routes will compete and win for at least part of the<br>Internet.<br clear="all"></blockquote><div><br></div><div>I agree, of course, that moving to announce every /24 would pollute the net. Note that if you use ROAs, you'll also have to make corresponding /24 ROAs, and I don't know if this won't have problematic impact also on the RPKI infrastructure. Not good. </div><div><br></div><div>But:<br></div><div>- assuming the /24 will have proper ROA, and ROV is reasonably deployed, this _would_ protect most of the traffic sent to the /24 from a hijacker announcing /24 (and even more if hijack is of shorter prefix, of course). </div><div>- As long as ROV isn't _very_ widely deployed, it would often fail to protect against the hijack without such measure (competing /24), so this will remain necessary (if you wish to prevent hijack). </div><div><br></div><div>We've done some relevant simulations, as well as proposed a simple extension to ROV, called ROV++, which protects against such sub-prefix hijacks without requiring competing /24 announcement, and effective already with modest adoption (of ROV++) by BGP routers. (Should also be assisted by mixed ROV / ROV++ adoption but we didn't do these simulations yet.) </div><div><br></div><div>See at: <a href="https://www.ndss-symposium.org/ndss-paper/rov-improved-deployable-defense-against-bgp-hijacking/">https://www.ndss-symposium.org/ndss-paper/rov-improved-deployable-defense-against-bgp-hijacking/</a></div><div><br></div><div>tl; dr : ROV++ routers would blackhole subprefix traffic rather than send it on a route which would be hijacked (i.e., if the route is to a neighbor AS that announced legit prefix _and_ hijacked subprefix). Simple. </div><div><br></div><div>[and no, I'm not happy with the resulting disconnections. but it's better than hijack imho]</div><div><br></div><div>best, Amir </div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr">-- <br><div>Amir Herzberg<br></div><div><br></div><div>Comcast professor of Security Innovations, Computer Science and Engineering, University of Connecticut</div><div>Homepage: <a href="https://sites.google.com/site/amirherzberg/home" target="_blank">https://sites.google.com/site/amirherzberg/home</a></div><div>`Applied Introduction to Cryptography' textbook and lectures:<a href="https://sites.google.com/site/amirherzberg/applied-crypto-textbook" target="_blank"> https://sites.google.com/site/amirherzberg/applied-crypto-textbook</a></div><div><br></div><br></div></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Aug 9, 2021 at 12:10 PM William Herrin <<a href="mailto:bill@herrin.us">bill@herrin.us</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Mon, Aug 9, 2021 at 8:48 AM Billy Croan <<a href="mailto:BCroan@unrealservers.net" target="_blank">BCroan@unrealservers.net</a>> wrote:<br>
> How does the community feel about using /24 originations in BGP as a<br>
> tactical advantage against potential bgp hijackers?<br>
> How many routers out there today would be affected if everyone did this?<br>
<br>
Hi Billy,<br>
<br>
I did some math on this years ago and it worked out to about 8.5<br>
million IPv4 routes. That's 10 times the current table size, more than<br>
any big-iron router can handle today. If everybody did it, it'd crash<br>
the Internet.<br>
<br>
> Is this seen as route table pollution, or a necessary evil in today's world?<br>
<br>
Pollution. And it won't save you from a hijack either, since your<br>
adversary's /24 routes will compete and win for at least part of the<br>
Internet.<br>
<br>
> Are there any big networks that drop or penalize announcements like this?<br>
<br>
Not in an automated way. Which is bad news for you if you do this<br>
because it means getting folks to -undo- the restrictions they<br>
manually enforce on your specific address space is nearly impossible.<br>
<br>
Regards,<br>
Bill Herrin<br>
<br>
-- <br>
William Herrin<br>
<a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a><br>
<a href="https://bill.herrin.us/" rel="noreferrer" target="_blank">https://bill.herrin.us/</a><br>
</blockquote></div>