Vincent Canfield, administranto de retpoŝto kaj gastiga revendisto cock.li, malkovris, ke lia tuta IP-reto estis aŭtomate aldonita al la listo de UCEPROTECT DNSBL por havenskanado de najbaraj virtualaj maŝinoj. La subreto de Vincent estis inkludita en la Nivelo 3 listo, en kiu blokado estas efektivigita per aŭtonomaj sistemaj nombroj kaj kovras tutajn subretojn de kiuj spamdetektiloj estis ekigitaj plurfoje kaj por malsamaj adresoj. Kiel rezulto, la M247-provizanto malfunkciigis la reklamadon de unu el siaj retoj en BGP, efike suspendante servon.
La problemo estas, ke falsaj UCEPROTECT-serviloj, kiuj ŝajnigas esti malfermitaj relajsoj kaj registras provojn sendi retpoŝton per si mem, aŭtomate inkluzivas adresojn en la bloklisto surbaze de ajna reto-agado, sen kontroli la retkonekton. Simila bloklistiga metodo ankaŭ estas uzata de la projekto Spamhaus.
Por eniri la blokan liston, sufiĉas sendi unu TCP SYN-pakaĵon, kiu povas esti ekspluatata de atakantoj. Aparte, ĉar dudirekta konfirmo de TCP-konekto ne estas bezonata, eblas uzi falsaĵon por sendi pakaĵeton indikantan falsan IP-adreson kaj komenci eniron en la bloklisto de iu ajn gastiganto. Dum simulado de agado de pluraj adresoj, eblas eskaladi blokadon al Nivelo 2 kaj Nivelo 3, kiuj plenumas blokadon per subreto kaj aŭtonoma sistemo-numeroj.
La listo de Nivelo 3 estis origine kreita por kontraŭbatali provizantojn, kiuj instigas malican klientan agadon kaj ne respondas al plendoj (ekzemple, gastigaj retejoj specife kreitaj por gastigi kontraŭleĝan enhavon aŭ servi spamistojn). Antaŭ kelkaj tagoj, UCEPROTECT ŝanĝis la regulojn por eniri en la Nivelo 2 kaj Nivelo 3-listoj, kio kondukis al pli agresema filtrado kaj pliigo de la grandeco de la listoj. Ekzemple, la nombro da enskriboj en la Nivelo 3-listo kreskis de 28 ĝis 843 aŭtonomaj sistemoj.
Por kontraŭbatali UCEPROTECT, la ideo estis prezentita uzi falsigitajn adresojn dum skanado indikante IP-ojn el la gamo de UCEPROTECT-sponsoroj. Kiel rezulto, UCEPROTECT enigis la adresojn de siaj sponsoroj kaj multaj aliaj senkulpaj homoj en ĝiaj datumbazoj, kiuj kreis problemojn kun retpoŝta livero. La Sucuri CDN-reto ankaŭ estis inkluzivita en la bloklisto.
fonto: opennet.ru