ProHoster > Блог > internet vijesti > Skeniranje portova dovelo je do blokiranja podmreže od strane provajdera zbog uključivanja na UCEPROTECT listu

Skeniranje portova dovelo je do blokiranja podmreže od strane provajdera zbog uključivanja na UCEPROTECT listu

Vincent Canfield, administrator prodavača e-pošte i hostinga cock.li, otkrio je da je njegova cijela IP mreža automatski dodana na UCEPROTECT DNSBL listu za skeniranje portova sa susjednih virtuelnih mašina. Vincentova podmreža je uključena u listu nivoa 3, u kojoj se blokiranje vrši putem autonomnih brojeva sistema i pokriva čitave podmreže iz kojih su se detektori neželjene pošte pokretali više puta i za različite adrese. Kao rezultat toga, M247 provajder je onemogućio oglašavanje jedne od svojih mreža u BGP-u, efektivno suspendujući uslugu.

Problem je u tome što lažni UCEPROTECT serveri, koji se pretvaraju da su otvoreni releji i bilježe pokušaje slanja pošte preko sebe, automatski uključuju adrese u listu blokova na osnovu bilo kakve mrežne aktivnosti, bez provjere uspostavljanja mrežne veze. Sličnu metodu blokiranja koristi i projekat Spamhaus.

Za ulazak na listu za blokiranje dovoljno je poslati jedan TCP SYN paket, koji napadači mogu iskoristiti. Konkretno, pošto nije potrebna dvosmjerna potvrda TCP veze, moguće je koristiti lažiranje za slanje paketa koji ukazuje na lažnu IP adresu i inicirati ulazak u listu blokova bilo kojeg hosta. Kod simulacije aktivnosti sa više adresa moguće je eskalirati blokiranje na Nivo 2 i Nivo 3, koji obavljaju blokiranje prema brojevima podmreže i autonomnog sistema.

Lista nivoa 3 prvobitno je kreirana da bi se borila protiv provajdera koji podstiču zlonamerne aktivnosti korisnika i ne odgovaraju na žalbe (na primer, hosting sajtova posebno kreiranih da ugošćuju ilegalni sadržaj ili služe spamerima). Prije nekoliko dana, UCEPROTECT je promijenio pravila za ulazak na liste nivoa 2 i nivoa 3, što je dovelo do agresivnijeg filtriranja i povećanja veličine lista. Na primjer, broj unosa na listi nivoa 3 porastao je sa 28 na 843 autonomna sistema.

Da bi se suprotstavio UCEPROTECT-u, iznesena je ideja da se tokom skeniranja koriste lažne adrese koje ukazuju na IP adrese iz niza UCEPROTECT sponzora. Kao rezultat toga, UCEPROTECT je upisao adrese svojih sponzora i mnogih drugih nevinih ljudi u svoje baze podataka, što je stvorilo probleme s isporukom e-pošte. Sucuri CDN mreža je također uvrštena na listu za blokiranje.

izvor: opennet.ru

Dodajte komentar