Portide skanneerimine viis pakkuja subnetti blokeerimiseni, kuna see sattus UCEPROTECT nimekirja

Vincent Canfield, e-posti teenuse ja cock.li hulgihostingute administraator, avastas, et kogu tema IP-võrk oli automaatselt kantud DNSBL UCEPROTECTi nimekirja portide skaneerimise tõttu naabervirtuaalmasinatelt. Vincenti alamvõrk sattus Level 3 nimekirja, kus blokeerimine toimub autonoomsete süsteemide numbrite järgi ja hõlmab terveid alamvõrke, millelt on korduvalt ja erinevate aadresside kaudu tuvastatud rämpsposti saatmise katsete tegemist. Selle tulemusena katkestas teenusepakkuja M247 ühe tema võrkude BGP väljakuulutamise, sisuliselt peatades teenuse.

Probleem seisneb selles, et valeisiku serverid UCEPROTECT, mis käituvad nagu avatud releed ja registreerivad püüdeid e-kirjade saatmiseks enda kaudu, lisavad automaatselt aadresse blokeerimisnimekirja igasuguse võrguaktiivsuse põhjal, ilma et kontrollitaks võrguühenduse seadistust. Sarnast blokeerimise meetodit rakendab ka Spamhaus.

Blokeerimisse nimekirja sattumiseks piisab ühe TCP SYN-paketi saatmisest, mida ründajad võivad ära kasutada. Eriti kuna TCP-ühenduse kahetasandilist kinnitust ei nõuta, saab spoofimise abil saata paketi vale aadressiga. IP-aadressid ja algatada ükskõik millise hosti blokeerimise. Mitme aadressiga aktiivsuse simuleerimise abil on võimalik saavutada blokeerimise tõstmine tasemetele Level 2 ja Level 3, mis blokeerivad alad ja autonoomsete süsteemide numbrid.

Level 3 nimekiri loodi algselt klientide kuritegeliku tegevuse soosimise ja kaebustele reageerimise puudumise tõttu proviisorite vastu (näiteks hosting-teenused, mis on loodud ebaseadusliku sisu majutamiseks või spämmerite teenindamiseks). Mõned päevad tagasi muutis UCEPROTECT Level 2 ja Level 3 nimekirja sisenemise reegleid, mis viis agressiivseama filtreerimise ja nimekirjade mahu suurenemiseni. Näiteks kasvas Level 3 nimekirja sissekannete arv 28-lt 843 autonoomse süsteemi võrreldes.

UCEPROTECTi vastasuse tagamiseks esitati idee kasutada skaneerimisel IP-aadresse, mis on UCEPROTECTi sponsorite vahemikust. Lõpptulemusena lisas UCEPROTECT oma sponsorite ja paljude teiste süütute aadresse oma andmebaasidesse, mis tekitas probleeme meilide edastamisel. Sealhulgas sattus blokeerimisnimekirja ettevõtte Sucuri CDN-võrk.

Allikas: opennet.ru

Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid 🔥 Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster