Het gequote stukje over filtering is onjuist, of in elk geval onvolledig.
Wat iedereen _zou_ moeten doen is *egress* filtering op het uitgaande pad richting Internet, en alles met een source die NIET 'eigen' is droppen.
Geen bron zijn van gespoofed verkeer dus.
Hoe dichter bij de bron van IP verkeer, des te beter. De internet border router/firewall is de laatste plek, maar nog beter is om het al op de access laag te zorgen dat alleen de sources die daarachter horen doorgelaten worden.
Dat is 'BCP 38' .
http://tools.ietf.org/html/bcp38
Het is niet verkeerd om inkomend verkeer vanaf Internet wat als source je eigen IP space heeft te droppen (dat kan ook niet goed zijn), maar in deze context helpt dat niet.