<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, May 28, 2015 at 1:26 AM, grarpamp <span dir="ltr"><<a href="mailto:grarpamp@gmail.com" target="_blank">grarpamp@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Wed, May 27, 2015 at 11:08 PM, Phillip Hallam-Baker<br>
<<a href="mailto:phill@hallambaker.com">phill@hallambaker.com</a>> wrote:<br><br>
<br>
</div></div>For whatever part of your threat models above includes global passive<br>
adversary watching the input and output points of your network<br>
of choice and lining up traffic observations... there is little defense<br>
to be taken other than filling your unused capacity with fill traffic.<br>
No network to date appears to be developing or using that defense.<br>
There have been threads on that within the last year, and even one on<br>
making such background fill a part of IEEE for fiber and copper physical links.<br></blockquote><div><br></div><div>Fill is very expensive at the network layer but (almost) trivially cheap at the link layer. The cost comes in having to think about how much data is disclosed in the link layer framing. This is not necessarily a performance issue but can certainly be an architectural constraint.</div><div><br></div><div>If a non-fill switch has no load, a packet is going to appear on one port and be routed to the destination immediately. That provides a tell for the path taken by that packet.</div><div><br></div><div>If the switch has link layer fill so that every link is encrypted and exchanges garbage during quiet time, a packet arriving in the situation above will either end up queued behind a junk frame or require the junk frame to be aborted in some fashion.</div><div><br></div><div> </div></div></div></div>