Vincent Canfield, administrateur van e-pos- en gasheerverkoper cock.li, het ontdek dat sy hele IP-netwerk outomaties by die UCEPROTECT DNSBL-lys gevoeg is vir poortskandering vanaf naburige virtuele masjiene. Vincent se subnet is ingesluit in die Vlak 3-lys, waarin blokkering deur outonome stelselnommers uitgevoer word en die hele subnette dek waarvandaan strooiposverklikkers herhaaldelik en vir verskillende adresse geaktiveer is. As gevolg hiervan het die M247-verskaffer die advertensies van een van sy netwerke in BGP gedeaktiveer, wat diens effektief opgeskort het.
Die probleem is dat vals UCEPROTECT-bedieners, wat voorgee dat hulle oop relais is en pogings aanteken om e-pos deur hulself te stuur, outomaties adresse in die bloklys insluit gebaseer op enige netwerkaktiwiteit, sonder om die vestiging van 'n netwerkverbinding na te gaan. 'n Soortgelyke bloklysmetode word ook deur die Spamhaus-projek gebruik.
Om in die blokkeringslys te kom, is dit genoeg om een ββTCP SYN-pakkie te stuur, wat deur aanvallers uitgebuit kan word. In die besonder, aangesien tweerigtingbevestiging van 'n TCP-verbinding nie vereis word nie, is dit moontlik om spoofing te gebruik om 'n pakkie te stuur wat 'n vals IP-adres aandui en toegang tot die bloklys van enige gasheer te begin. Wanneer aktiwiteit vanaf verskeie adresse gesimuleer word, is dit moontlik om blokkering na Vlak 2 en Vlak 3 te eskaleer, wat blokkering deur subnetwerk en outonome stelselnommers uitvoer.
Die Vlak 3-lys is oorspronklik geskep om verskaffers te bestry wat kwaadwillige klantaktiwiteit aanmoedig en nie op klagtes reageer nie (byvoorbeeld, gasheerwebwerwe wat spesifiek geskep is om onwettige inhoud te huisves of strooiposs te bedien). 'n Paar dae gelede het UCEPROTECT die reΓ«ls verander om in die vlak 2- en vlak 3-lyste te kom, wat gelei het tot meer aggressiewe filtering en 'n toename in die grootte van die lyste. Byvoorbeeld, die aantal inskrywings in die Vlak 3-lys het van 28 tot 843 outonome stelsels gegroei.
Om UCEPROTECT teΓ« te werk, is die idee na vore gebring om vervalste adresse tydens skandering te gebruik wat IP's van die reeks UCEPROTECT-borge aandui. As gevolg hiervan het UCEPROTECT die adresse van sy borge en baie ander onskuldige mense in sy databasisse ingevoer, wat probleme met e-posaflewering geskep het. Die Sucuri CDN-netwerk is ook by die blokkeringslys ingesluit.
Bron: opennet.ru