Port-Scanning führte zur Blockierung des Subnetzes durch den Anbieter aufgrund der Aufnahme in die UCEPROTECT-Liste.

Vincent Canfield, Administrator des E-Mail-Dienstes und Hosting-Resellers cock.li, stellte fest, dass sein gesamtes IP-Netzwerk automatisch auf die DNSBL UCEPROTECT gesetzt wurde, weil Port-Scans von benachbarten virtuellen Maschinen durchgeführt wurden. Vincents Subnetz wurde in Level 3 aufgenommen, bei dem die Sperrung anhand der autonomen Systemnummern erfolgt und ganze Subnetze umfasst, von denen mehrfach und für verschiedene Adressen Spam-Detektoren ausgelöst wurden. Infolgedessen schaltete der Anbieter M247 die Ankündigung eines seiner Netzwerke im BGP ab, was de facto den Dienst einstellte.

Das Problem besteht darin, dass gefälschte Server UCEPROTECT, die sich als offene Relays ausgeben und versuchen, E-Mail-Versand über sich selbst zu erfassen, schließen automatisch Adressen in die Sperrliste basierend auf jeglicher Netzwerkaktivität ein, ohne die Etablierung der Netzwerkverbindung zu überprüfen. Eine ähnliche Methode zur Sperrung wird auch vom Projekt Spamhaus angewendet.

Um auf die Sperrliste zu gelangen, reicht es aus, ein TCP SYN-Paket zu senden, was von Angreifern ausgenutzt werden kann. Da keine bidirektionale Bestätigung des TCP-Verbindungsaufbaus erforderlich ist, kann durch Spoofing ein Paket mit einer gefälschten Adresse gesendet werden. IP-Adressen Dadurch kann die Sperre jedes Hosts eingeleitet werden. Bei der Simulation von Aktivitäten von mehreren Adressen kann eine Eskalation der Sperre auf die Ebenen Level 2 und Level 3 erreicht werden, die Sperren nach Subnetzen und autonomen Systemnummern durchführen.

Die Level 3-Liste wurde ursprünglich erstellt, um gegen Anbieter vorzugehen, die schädliche Aktivitäten von Kunden begünstigen und nicht auf Beschwerden reagieren (zum Beispiel Hostings, die speziell für die Bereitstellung illegaler Inhalte oder für die Bedienung von Spammern eingerichtet wurden). Vor einigen Tagen hat UCEPROTECT die Regeln für den Zugang zu den Level 2- und Level 3-Listen geändert, was zu einer aggressiveren Filterung und einer Zunahme der Listengröße führte. So ist die Zahl der Einträge in der Level 3-Liste von 28 auf 843 autonome Systeme gestiegen.

Um UCEPROTECT entgegenzuwirken, wurde die Idee geäußert, beim Scannen Spoofing-Adressen mit IPs aus dem Bereich der UCEPROTECT-Sponsoren zu verwenden. Letztlich hat UCEPROTECT die Adressen seiner Sponsoren und vieler anderer Unschuldiger in seine Datenbanken aufgenommen, was zu Problemen bei der Zustellung von E-Mails führte. Darunter fiel auch das CDN-Netzwerk des Unternehmens Sucuri.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster