Darganfu Vincent Canfield, gweinyddwr e-bost a hosting reseller cock.li, fod ei rwydwaith IP cyfan yn cael ei ychwanegu'n awtomatig at restr UCEPROTECT DNSBL ar gyfer sganio porthladdoedd o beiriannau rhithwir cyfagos. Roedd is-rwydwaith Vincent wedi'i gynnwys yn y rhestr Lefel 3, lle mae blocio yn cael ei wneud gan rifau system ymreolaethol ac yn cwmpasu is-rwydweithiau cyfan y mae synwyryddion sbam yn cael eu hysgogi dro ar Γ΄l tro ac ar gyfer cyfeiriadau gwahanol ohonynt. O ganlyniad, analluogodd darparwr yr M247 hysbysebu un o'i rwydweithiau yn BGP, gan atal gwasanaeth i bob pwrpas.
Y broblem yw bod gweinyddwyr UCEPROTECT ffug, sy'n esgus bod yn gyfnewidfeydd agored ac yn cofnodi ymdrechion i anfon post trwyddynt eu hunain, yn awtomatig yn cynnwys cyfeiriadau yn y rhestr bloc yn seiliedig ar unrhyw weithgaredd rhwydwaith, heb wirio sefydlu cysylltiad rhwydwaith. Mae'r prosiect Spamhaus hefyd yn defnyddio dull rhestru bloc tebyg.
I fynd i mewn i'r rhestr rwystro, mae'n ddigon anfon un pecyn TCP SYN, y gall ymosodwyr ei ecsbloetio. Yn benodol, gan nad oes angen cadarnhad dwy ffordd o gysylltiad TCP, mae'n bosibl defnyddio ffugio i anfon pecyn yn nodi cyfeiriad IP ffug a chychwyn mynediad i restr blociau unrhyw westeiwr. Wrth efelychu gweithgaredd o sawl cyfeiriad, mae'n bosibl cynyddu blocio i Lefel 2 a Lefel 3, sy'n perfformio blocio gan is-rwydwaith a rhifau system ymreolaethol.
CrΓ«wyd y rhestr Lefel 3 yn wreiddiol i frwydro yn erbyn darparwyr sy'n annog gweithgarwch cwsmeriaid maleisus ac nad ydynt yn ymateb i gwynion (er enghraifft, cynnal gwefannau a grΓ«wyd yn benodol i gynnal cynnwys anghyfreithlon neu wasanaethu sbamwyr). Ychydig ddyddiau yn Γ΄l, newidiodd UCEPROTECT y rheolau ar gyfer mynd i mewn i'r rhestrau Lefel 2 a Lefel 3, a arweiniodd at hidlo mwy ymosodol a chynnydd ym maint y rhestrau. Er enghraifft, cynyddodd nifer y cofrestriadau ar y rhestr Lefel 3 o 28 i 843 o systemau ymreolaethol.
I wrthsefyll UCEPROTECT, cynigiwyd y syniad i ddefnyddio cyfeiriadau ffug yn ystod y sganio sy'n nodi IPs o'r ystod o noddwyr UCEPROTECT. O ganlyniad, rhoddodd UCEPROTECT gyfeiriadau ei noddwyr a llawer o bobl ddiniwed eraill i'w gronfeydd data, a greodd broblemau gyda danfon e-bost. Roedd rhwydwaith CDN Sucuri hefyd wedi'i gynnwys yn y rhestr rwystro.
Ffynhonnell: opennet.ru