Vincent Canfield, administrador del distribuïdor de correu electrònic i allotjament cock.li, va descobrir que tota la seva xarxa IP s'havia afegit automàticament a la llista DNSBL d'UCEPROTECT per escanejar ports des de màquines virtuals veïnes. La subxarxa de Vincent es va incloure a la llista de nivell 3, en la qual el bloqueig es realitza mitjançant números de sistema autònom i cobreix subxarxes senceres des de les quals es van activar detectors de correu brossa repetidament i per a diferents adreces. Com a resultat, el proveïdor M247 va desactivar la publicitat d'una de les seves xarxes a BGP, i va suspendre efectivament el servei.
El problema és que els falsos servidors UCEPROTECT, que pretenen ser relés oberts i registren els intents d'enviar correu per ells mateixos, inclouen automàticament adreces a la llista de bloqueig en funció de qualsevol activitat de la xarxa, sense comprovar l'establiment d'una connexió de xarxa. El projecte Spamhaus també utilitza un mètode de llista de blocs similar.
Per entrar a la llista de bloqueig, n'hi ha prou amb enviar un paquet TCP SYN, que pot ser explotat pels atacants. En particular, com que no es requereix confirmació bidireccional d'una connexió TCP, és possible utilitzar la falsificació per enviar un paquet que indica una adreça IP falsa i iniciar l'entrada a la llista de bloqueig de qualsevol host. Quan es simula l'activitat des de diverses adreces, és possible augmentar el bloqueig al nivell 2 i al nivell 3, que realitzen el bloqueig per subxarxes i números de sistema autònom.
La llista de nivell 3 es va crear originalment per combatre els proveïdors que fomenten l'activitat dels clients maliciosos i no responen a les queixes (per exemple, allotjament de llocs creats específicament per allotjar contingut il·legal o servir els enviadors de correu brossa). Fa uns dies, UCEPROTECT va modificar les regles d'accés a les llistes de Nivell 2 i Nivell 3, fet que va comportar un filtratge més agressiu i un augment de la mida de les llistes. Per exemple, el nombre d'entrades a la llista de nivell 3 va créixer de 28 a 843 sistemes autònoms.
Per contrarestar UCEPROTECT, es va plantejar la idea d'utilitzar adreces falsificades durant l'escaneig indicant les IP de la gamma de patrocinadors d'UCEPROTECT. Com a resultat, UCEPROTECT va introduir les adreces dels seus patrocinadors i de moltes altres persones innocents a les seves bases de dades, cosa que va crear problemes amb el lliurament del correu electrònic. La xarxa Sucuri CDN també es va incloure a la llista de bloqueig.
Font: opennet.ru