<div dir="ltr">I was under the impression that encryption (IPSEC) did not hide the source and destination in the header? I was also unaware that it randomized the size of the packets? It would still be trivial to identify a syn flood by seeing a lot of new source addresses sending packets with no payload. Heaven forbid some one would actually have to create this new set of rules though.<div>

<br></div><div>Personally if i was paying some one to DDoS mitigate for me I wouldn't have a problem providing them with a key to be able to terminate the traffic. <br><div><br></div><div>--Damian</div></div></div><div class="gmail_extra">

<br><br><div class="gmail_quote">On Fri, Nov 8, 2013 at 8:59 PM, Dobbins, Roland <span dir="ltr"><<a href="mailto:rdobbins@arbor.net" target="_blank">rdobbins@arbor.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im"><br>
On Nov 8, 2013, at 7:43 PM, Karl Auer <<a href="mailto:kauer@biplane.com.au">kauer@biplane.com.au</a>> wrote:<br>
<br>
> Seems to me that is the point of encryption!<br>
<br>
</div>Making it impossible to detect/classify/traceback and then mitigate DDoS attacks, identify botnet C&Cs, etc. isn't the point of encryption, but is a side-effect of overencryption.<br>
<br>
No, folks aren't going to share all their keys and certs with all the ISPs in the world, that would defeat the purpose of having them the first place.<br>
<br>
No, folks aren't going to mitigate a 100gb/sec+ DDoS attack in their IDC after you've decrypted the DDoS traffic.<br>
<br>
No, folks aren't going to successfully  detect, classify, & mitigate layer-4 or layer-7 DDoS attacks which cause their public-facing properties to fall over because the tunnel termination points are likely going to be devices which fall over due to state exhaustion due to said attacks.<br>


<br>
Encrypting everything, all the time, is a recipe for disaster.<br>
<br>
Enough on this topic.  No more replies - I've said my piece, and then some.<br>
<div class="im HOEnZb"><br>
-----------------------------------------------------------------------<br>
Roland Dobbins <<a href="mailto:rdobbins@arbor.net">rdobbins@arbor.net</a>> // <<a href="http://www.arbornetworks.com" target="_blank">http://www.arbornetworks.com</a>><br>
<br>
          Luck is the residue of opportunity and design.<br>
<br>
                       -- John Milton<br>
<br>
</div><div class="HOEnZb"><div class="h5">_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
</div></div></blockquote></div><br></div>