E-posti administraator ja hostimise edasimüüja cock.li Vincent Canfield avastas, et kogu tema IP-võrk lisati automaatselt UCEPROTECT DNSBL-i loendisse naabruses asuvate virtuaalmasinate portide skannimiseks. Vincenti alamvõrk lisati 3. taseme loendisse, kus blokeerimist teostavad autonoomsed süsteeminumbrid ja mis hõlmab terveid alamvõrke, millest rämpspostidetektorid käivitati korduvalt ja erinevatele aadressidele. Selle tulemusena keelas M247 pakkuja ühe oma võrgu reklaamimise BGP-s, peatades sellega teenuse.
Probleem seisneb selles, et võlts-UCEPROTECT-serverid, mis teesklevad avatud releed ja salvestavad enda kaudu kirjade saatmise katseid, lisavad võrguühenduse loomist kontrollimata automaatselt blokeerimisloendisse aadressid. Sarnast blokiloendi meetodit kasutab ka projekt Spamhaus.
Blokeerimisloendisse pääsemiseks piisab ühe TCP SYN-i paketi saatmisest, mida ründajad saavad ära kasutada. Täpsemalt, kuna TCP-ühenduse kahesuunaline kinnitamine pole vajalik, on võltsitud IP-aadressi näitava paketi saatmiseks ja mis tahes hosti blokeerimisloendisse sisenemise algatamiseks võimalik kasutada võltsimist. Mitme aadressi tegevuse simuleerimisel on võimalik eskaleerida blokeerimine 2. ja 3. tasemele, mis teostavad blokeerimist alamvõrgu ja autonoomsete süsteeminumbrite järgi.
3. taseme loend loodi algselt selleks, et võidelda teenusepakkujatega, kes õhutavad klientide pahatahtlikku tegevust ega reageeri kaebustele (näiteks spetsiaalselt ebaseadusliku sisu majutamiseks või rämpsposti saatjate teenindamiseks loodud saidid). Mõned päevad tagasi muutis UCEPROTECT 2. ja 3. taseme nimekirjadesse pääsemise reegleid, mis tõi kaasa agressiivsema filtreerimise ja loendite suuruse suurenemise. Näiteks kasvas 3. taseme loendi kirjete arv 28-lt 843 autonoomsele süsteemile.
UCEPROTECTi vastu võitlemiseks pakuti välja idee kasutada skaneerimisel võltsitud aadresse, mis näitavad UCEPROTECTi sponsorite IP-sid. Selle tulemusena sisestas UCEPROTECT oma sponsorite ja paljude teiste süütute inimeste aadressid oma andmebaasidesse, mis tekitas probleeme meilide kohaletoimetamisega. Blokeerimisnimekirja lisati ka Sucuri CDN-võrk.
Allikas: opennet.ru