اكتشف فنسنت كانفيلد، مدير البريد الإلكتروني وموزع الاستضافة Cock.li، أن شبكة IP الخاصة به بالكامل تمت إضافتها تلقائيًا إلى قائمة UCEPROTECT DNSBL لمسح المنافذ من الأجهزة الافتراضية المجاورة. تم إدراج شبكة فنسنت الفرعية في قائمة المستوى 3، حيث يتم تنفيذ الحظر بواسطة أرقام نظام مستقل ويغطي شبكات فرعية كاملة تم تشغيل أجهزة كشف البريد العشوائي منها بشكل متكرر لعناوين مختلفة. ونتيجة لذلك، قام مزود M247 بتعطيل الإعلان عن إحدى شبكاته في BGP، مما أدى إلى تعليق الخدمة بشكل فعال.
تكمن المشكلة في أن خوادم UCEPROTECT المزيفة، التي تتظاهر بأنها مرحلات مفتوحة وتسجل محاولات إرسال البريد من خلال نفسها، تقوم تلقائيًا بتضمين العناوين في قائمة الحظر بناءً على أي نشاط على الشبكة، دون التحقق من اتصال الشبكة. يتم أيضًا استخدام طريقة حظر مماثلة في مشروع Spamhaus.
للدخول إلى قائمة الحظر، يكفي إرسال حزمة TCP SYN واحدة، والتي يمكن استغلالها من قبل المهاجمين. على وجه الخصوص، نظرًا لعدم الحاجة إلى تأكيد ثنائي الاتجاه لاتصال TCP، فمن الممكن استخدام الانتحال لإرسال حزمة تشير إلى عنوان IP مزيف وبدء الدخول إلى قائمة الحظر الخاصة بأي مضيف. عند محاكاة النشاط من عدة عناوين، من الممكن تصعيد الحظر إلى المستوى 2 والمستوى 3، اللذين يقومان بالحظر عن طريق أرقام الشبكة الفرعية والنظام الذاتي.
تم إنشاء قائمة المستوى 3 في الأصل لمكافحة مقدمي الخدمة الذين يشجعون أنشطة العملاء الضارة ولا يستجيبون للشكاوى (على سبيل المثال، مواقع الاستضافة التي تم إنشاؤها خصيصًا لاستضافة محتوى غير قانوني أو خدمة مرسلي البريد العشوائي). قبل بضعة أيام، غيّر UCEPROTECT قواعد الدخول إلى قوائم المستوى 2 والمستوى 3، مما أدى إلى تصفية أكثر قوة وزيادة في حجم القوائم. على سبيل المثال، ارتفع عدد الإدخالات في قائمة المستوى 3 من 28 إلى 843 نظامًا ذاتيًا.
ولمواجهة UCEPROTECT، تم طرح فكرة استخدام العناوين المخادعة أثناء المسح للإشارة إلى عناوين IP من مجموعة رعاة UCEPROTECT. ونتيجة لذلك، أدخلت UCEPROTECT عناوين الجهات الراعية والعديد من الأشخاص الأبرياء الآخرين في قواعد بياناتها، مما خلق مشاكل في تسليم البريد الإلكتروني. تم أيضًا تضمين شبكة Sucuri CDN في قائمة الحظر.
المصدر: opennet.ru