<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Fri, Aug 29, 2025 at 2:00 PM Shawn Bakhtiar <<a href="mailto:shashaness@gmail.com">shashaness@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><br id="m_3375689943958658686lineBreakAtBeginningOfMessage"><div><br><blockquote type="cite"><div>On Aug 29, 2025, at 1:23 PM, Paul E McNary <<a href="mailto:pmcnary@cameron.net" target="_blank">pmcnary@cameron.net</a>> wrote:</div><br><div><div><div style="font-family:arial,helvetica,sans-serif;font-size:12pt"><div>I need more education before I comment further.<br>How do you enforce if they are using a natted IP and your gateway is coming back as the abused address?<br></div></div></div></div></blockquote><div><br></div><div>I would argue if you are NATing for others, you are responsible for their behavior. </div><div><br></div><div>As others have mentioned. ARIN is not LE (Law Enforcement), however, this does not mean it can't (and in fact it should) set policy. Once the policy is established, then we can use it as a basis for enforcement, this could come in the form of a civil law suite, etc...</div><div><br></div><div>I can't go to courts and say hold someone to a standard that has not been set. I need the policy, in order to establish the bad behavior. </div></div></div></blockquote><div><br></div><div><br></div><div>Hi Shawn,</div><div><br></div><div>We already have community policies that exist; for example, MANRS requires that:</div><div><br></div><div>"Network operators should register and maintain NOC contact information for each AS and
netblock(s) that they are responsible for. This must include an email address to which
operational queries may be sent and expected to reply within 72 hours, and a telephone
number and dedicated abuse email address (e.g. abuse-c) should also be provided.
Networks are encouraged to document their routing policies in an IRR, and additional
information (e.g. Looking Glass URL) in the appropriate field of their PeeringDB record is
welcome."<br></div><div><br></div><div><a href="https://manrs.org/wp-content/uploads/2021/09/MANRS-Network-Operators-Actions-v2.5.2.pdf">https://manrs.org/wp-content/uploads/2021/09/MANRS-Network-Operators-Actions-v2.5.2.pdf</a><br></div><div><br></div><div><br></div><div>I think what you're looking for is more than just policy, it's a legally binding contract (in effect, a law) that every network operator agrees to follow, or be liable in a court of law for contract violation.  That's a much higher bar to try to reach.  :(</div><div><br></div><div>But if all you really want is "policy", there's policies out there that already require network operators to maintain up to date contact information.</div><div>Just point people at those policies, like MANRS.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div><div><br></div><div>The difference in having this policy or not, is the difference on whether I can pursue damages. Without it, the courts will simply say, they have no obligation. With it the court can hold them to the obligation. </div><div><br></div><div>ARIN would never even be involved, netizens would simply litigate through the civil courts. </div></div></div></blockquote><div><br></div><div>If you're looking for courts to enforce policy, there's only one way to do that, and that's to pass a law, </div><div>and once you talk about laws, you're talking about specific jurisdictions.</div><div><br></div><div>If you don't want to deal with passing legislation, then your other recourse is to fall back on contract law, and </div><div>in that situation, ARIN has to be involved, as they would be the holder of the contract that is being breached. </div><div><br></div><div>I think you need to slow down for a moment, and really think about what it is you're asking for.</div><div><br></div><div>If you want something that is prosecuted in the civil courts, you're talking about legislation, and at best, </div><div>you're going country by country to get it passed, with a lot of time and headache, and no enforceability </div><div>across jurisdictional boundaries.</div><div><br></div><div>If you want something that *ARIN* can enforce, then the PPML is the right place to start talking about it, </div><div>but you have to acknowledge that doing so brings costs with it in terms of ARIN staff time and legal </div><div>engagement, and the way that would get paid for is by increasing the ARIN service charges for everyone </div><div>that is an ARIN member.  And you're going to have to do a really good job to convince us that raising ARINs</div><div>costs to monitor and enforce this is important enough for us to cough over additional money each year to </div><div>support it.</div><div> </div><div>How much are *you* willing to pay to have the new policies you're asking for be monitored and </div><div>enforced?   $1000/year?    $5000/year?</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div><br><blockquote type="cite"><div><div><div style="font-family:arial,helvetica,sans-serif;font-size:12pt"><div>We are deploying IPv6 but it has taken years.<br>We have equipment that monitor and shapes traffic and a hard attack going through our gateway our Upstream fiber provider blacklists an incoming abusing IP<br></div></div></div></div></blockquote><blockquote type="cite"><div><div><div style="font-family:arial,helvetica,sans-serif;font-size:12pt"><div>or shuts all of our network down inbound.</div></div></div></div></blockquote><blockquote type="cite"><div><div><div style="font-family:arial,helvetica,sans-serif;font-size:12pt"><div>But outbound natted addresses using dynamic DNS, I don't have any knowledge how to stop from internal except by high consumption.<br>What other ways are there?<br></div></div></div></div></blockquote><div><br></div><div>Again, I don't want to conflate enforcement with policy. All I'm asking for here is a policy to be set (updated). I'm not asking ARIN to enforce it. The community will do it through the normal legal and enforcement channels. But we can't do that, when there is no policy to point to.</div></div></div></blockquote><div><br></div><div><br></div><div>As the United States has discovered much to its chagrin, there is no meaning to policy without an ability and willingness to enforce it.</div><div><br></div><div>Creating an entry in the NRPM that specifies a policy, but absolves ARIN from having to enforce it is a waste of virtual ink.</div><div>No court of law is going to take action against a network for failing to adhere to a section of the NRPM without a suit being </div><div>filed by a plaintiff that has standing.  And the NRPM is purely an agreement between a network and ARIN; it has no binding </div><div>action between one network and a different network.  I cannot bring a lawsuit against you for failing to adhere to the NRPM, </div><div>because you and I did not jointly sign that agreement; it was signed by you and ARIN only.  The only party that could bring </div><div>a suit against you for failing to honor the agreement would be ARIN.  Thus, in asking for policy to be written, you are </div><div>implicitly asking ARIN to also be the enforcer of the policy, and to account for the costs involved in enforcing that policy.</div><div><br></div><div>If you ask for policy to be created without also appointing and authorizing an enforcer, you have at best created a </div><div>community guideline; and much like BCP 38, the good people will implement it, and the bad people will not, and there's</div><div>nothing the good people can do about the bad people who ignore it.  That's pretty much where we are today.  You have</div><div>MANRS, which stipulates that networks should have contact addresses that respond within 72 hours -- but with no </div><div>enforcement body identified, it's largely toothless.  I can't bring any action against a network that doesn't adhere to </div><div>the MANRS requirements, because it's not a contract that has been breached, nor is it a penal code that the state </div><div>will enforce.</div><div><br></div><div>If you're looking for a community guideline without enforcement, point them at MANRS--that already exists.</div><div><br></div><div>If you want enforcement, the only party that can do the enforcing here is ARIN.</div><div><br></div><div>Thanks!</div><div><br></div><div>Matt</div><div><br></div><div><br></div></div></div>