Názor k článku Postřehy z bezpečnosti: masivní DDoS útok na DNS nebyl úspěšný od Filip Jirsák - Jsem-li cilem utoku, pak samozrejme nema cenu na...

Jsem-li cilem utoku, pak samozrejme nema cenu na BCP38 spolehat a tato debata je bezpredmetna.
Tato debata vznikla na základě popisu v článku, který byl psán z pohledu cíle útoku a zároveň zmiňoval BCP38.

Implementace BCP38 je tu prave proto, aby ISP chranil okolni pred chybami *svych* zakazniku
K čemuž právě BCP38 nestačí, jak tvrdím celou dobu. A když máte řešení, které opravdu okolní sítě chránit před chybami vlastních zákazníků, to řešení pokryje i ty chyby, které by pokrylo BCP38. Což jsem psal v úplně prvním komentáři tohoto vlákna.

Pointou je, ze ochrana proti spoofingu probiha uz na rozhrani proti zakaznikovi, nikoli az na odchozim smeru na hranicich autonomniho systemu.
To je podle mne lepší řešení, ale asi to tak nemají všichni, když argumentují desítky gigabitů provozu. Nicméně ani v tomhle místě by se nemělo spoléhat na to, že škodlivý provoz <=> podvržené odchozí IP adresy, protože ty implikace neplatí ani v jednom směru.