<div dir="ltr"><div>There is unfortunately, zero mandatory requirement on ISPs to provide any sort of RPF checks. They could have introduced this with the data retention requirements, and actually materially improved Australian internet. Opportunity missed. Not implementing BCP38 produces the same externality effect as pollution, where there is a cost maintaining a clean environment, but the cost of polluting is born by some poor Charlie you never have to meet. It's a classic market failure, and basically that's one of the reasons we recognise the authority of the State, to stop people shoving their garbage on other poor Charlie's. So tax payers ought be asking their local members, if they're paying tax on their internet, why hasn't the State mandated RPF protection?<br><br></div><div>This is very much "watch this space" territory, post DDOS on the Australian Census, post DDOS UK Euro referendum. Australia is blessed by geography regards DDOS, where we could very effectively separate national from international traffic, and then mandate BCP38 for ISPs and international carriers, through the use of BGP community, ala Team Cymru.<br></div><div><br></div><div>Kind regards<br><br></div><div>Paul Wilkins<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 12 April 2017 at 15:12, Boblobsta . <span dir="ltr"><<a href="mailto:boblobsta@gmail.com" target="_blank">boblobsta@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">It's very important to note that they are vastly different solutions and not directly comparable.<div><div><br><div>As mentioned earlier in this thread, what OP is talking about is called BCP38 and it is (imo) the most important first step for a network owner to take.</div><div>It costs nothing but a bit of solid planning (we all do this already, right?!) and it ensures that your network can not originate spoofed traffic.</div><div><br></div><div>If everybody did that the need for any DDoS hardware would be very low.</div></div><div><br></div><div>Further from that first step, you can purchase vendor hardware to provide your network with additional protection <b>against other networks who choose not to use BCP38.</b></div></div><div><b><br></b></div><div>Cheers,</div><div>Bob W</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On 12 April 2017 at 15:00, Chad Kelly <span dir="ltr"><<a href="mailto:chad@cpkws.com.au" target="_blank">chad@cpkws.com.au</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On 4/12/2017 12:00 PM, <a href="mailto:ausnog-request@lists.ausnog.net" target="_blank">ausnog-request@lists.ausnog.ne<wbr>t</a> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Given the way amplification attacks work - where you spoof the source IP<br>
address to be that of the target and then find services that can respond<br>
with significantly larger response (e.g. DNS, NTP etc), I am wondering<br>
if it is considered good practice at the ISP level to block traffic<br>
leaving your network with any source addresses that do not match your<br>
own address range or that of your clients.<br>
<br>
Do many/all ISPs do this? Are there any practical complications from<br>
doing this?<br>
</blockquote></span>
Any of the well known DDoS Attack prevention tools such as those offered by Ns Focus should do what you want.<br>
Without blocking legitimate traffic, heck even AWS has DDoS protection available now a days as an add on product.<br>
<a href="https://nsfocusglobal.com/solutions-overview/premise-ddos-protection-2/" rel="noreferrer" target="_blank">https://nsfocusglobal.com/solu<wbr>tions-overview/premise-ddos-pr<wbr>otection-2/</a><br>
<a href="https://aws.amazon.com/shield/" rel="noreferrer" target="_blank">https://aws.amazon.com/shield/</a><br>
<br>
This at least gives you a couple of solutions to look at anyway.<br>
<br>
Regards Chad.<span class="m_7079287228312687871HOEnZb"><font color="#888888"><br>
<br>
<br>
-- <br>
Chad Kelly<br>
Manager<br>
CPK Web Services<br>
web <a href="http://www.cpkws.com.au" rel="noreferrer" target="_blank">www.cpkws.com.au</a><br>
phone 03 5273 0246</font></span><div class="m_7079287228312687871HOEnZb"><div class="m_7079287228312687871h5"><br>
<br>
______________________________<wbr>_________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" rel="noreferrer" target="_blank">http://lists.ausnog.net/mailma<wbr>n/listinfo/ausnog</a><br>
</div></div></blockquote></div><br></div>
</div></div><br>______________________________<wbr>_________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" rel="noreferrer" target="_blank">http://lists.ausnog.net/<wbr>mailman/listinfo/ausnog</a><br>
<br></blockquote></div><br></div>