Vincent Canfield, správce e-mailového a hostingového prodejce cock.li, zjistil, že celá jeho IP síť byla automaticky přidána do seznamu DNSBL UCEPROTECT pro skenování portů ze sousedních virtuálních strojů. Vincentova podsíť byla zařazena do seznamu úrovně 3, ve kterém se blokování provádí pomocí autonomních systémových čísel a pokrývá celé podsítě, ze kterých byly detektory spamu spouštěny opakovaně a pro různé adresy. V důsledku toho poskytovatel M247 zakázal inzerci jedné ze svých sítí v BGP, čímž fakticky pozastavil službu.
Problém je v tom, že falešné servery UCEPROTECT, které se tváří jako otevřená relé a zaznamenávají pokusy o odeslání pošty přes sebe, automaticky zahrnují adresy do seznamu blokovaných na základě jakékoli síťové aktivity, aniž by kontrolovaly navázání síťového připojení. Podobnou metodu blocklistingu využívá také projekt Spamhaus.
Abyste se dostali do seznamu blokování, stačí poslat jeden TCP SYN paket, který mohou útočníci zneužít. Zejména, protože není vyžadováno obousměrné potvrzení TCP spojení, je možné použít spoofing k odeslání paketu označujícího falešnou IP adresu a inicializaci vstupu do seznamu blokování libovolného hostitele. Při simulaci aktivity z více adres je možné eskalovat blokování na úroveň 2 a úroveň 3, které provádějí blokování podle čísel podsítě a autonomního systému.
Seznam úrovně 3 byl původně vytvořen s cílem bojovat proti poskytovatelům, kteří podněcují zákeřnou aktivitu zákazníků a nereagují na stížnosti (například hosting stránek speciálně vytvořených k hostování nelegálního obsahu nebo poskytování spammerů). Před několika dny společnost UCEPROTECT změnila pravidla pro vstup do seznamů úrovně 2 a 3, což vedlo k agresivnějšímu filtrování a zvýšení velikosti seznamů. Například počet položek v seznamu úrovně 3 vzrostl z 28 na 843 autonomních systémů.
Aby se zabránilo UCEPROTECT, byla předložena myšlenka používat falešné adresy během skenování indikující IP z řady sponzorů UCEPROTECT. V důsledku toho UCEPROTECT zadal do svých databází adresy svých sponzorů a mnoha dalších nevinných lidí, což způsobilo problémy s doručováním emailů. Síť Sucuri CDN byla také zařazena do seznamu blokování.
Zdroj: opennet.ru