وینسنت کنفیلد، مدیر ایمیل و فروشنده میزبانی cock.li، متوجه شد که کل شبکه IP او به طور خودکار به لیست UCEPROTECT DNSBL برای اسکن پورت از ماشین های مجازی همسایه اضافه شده است. زیرشبکه وینسنت در لیست سطح 3 گنجانده شد که در آن مسدود کردن توسط شماره های سیستم مستقل انجام می شود و کل زیرشبکه هایی را پوشش می دهد که آشکارسازهای هرزنامه به طور مکرر و برای آدرس های مختلف فعال شده اند. در نتیجه، ارائه دهنده M247 تبلیغات یکی از شبکه های خود را در BGP غیرفعال کرد و عملاً سرویس را به حالت تعلیق درآورد.
مشکل این است که سرورهای جعلی UCEPROTECT، که وانمود میکنند رلههای باز هستند و تلاشهایی را برای ارسال نامه از طریق خودشان ضبط میکنند، بهطور خودکار آدرسهایی را بر اساس هر فعالیت شبکه، بدون بررسی برقراری اتصال شبکه، در لیست بلوک قرار میدهند. یک روش مشابه فهرست بلاک نیز توسط پروژه Spamhaus استفاده می شود.
برای ورود به لیست مسدود کردن، کافی است یک بسته TCP SYN ارسال کنید که می تواند توسط مهاجمان مورد سوء استفاده قرار گیرد. به طور خاص، از آنجایی که تأیید دو طرفه اتصال TCP مورد نیاز نیست، می توان از جعل برای ارسال بسته ای که نشان دهنده یک آدرس IP جعلی است و شروع ورود به لیست بلوک هر میزبانی استفاده کرد. هنگام شبیهسازی فعالیت از چندین آدرس، میتوان انسداد را به سطح 2 و سطح 3 افزایش داد که توسط زیرشبکه و شمارههای سیستم مستقل مسدودسازی میکنند.
لیست سطح 3 در ابتدا برای مبارزه با ارائه دهندگانی ایجاد شد که فعالیت های مخرب مشتری را تشویق می کنند و به شکایات پاسخ نمی دهند (به عنوان مثال، میزبانی سایت هایی که به طور خاص برای میزبانی محتوای غیرقانونی یا ارائه خدمات به ارسال کنندگان هرزنامه ایجاد شده اند). چند روز پیش، UCEPROTECT قوانین ورود به لیست های سطح 2 و سطح 3 را تغییر داد که منجر به فیلترینگ تهاجمی تر و افزایش اندازه لیست ها شد. به عنوان مثال، تعداد ورودیهای فهرست سطح 3 از 28 به 843 سیستم مستقل افزایش یافت.
برای مقابله با UCEPROTECT، این ایده برای استفاده از آدرس های جعلی در طول اسکن ارائه شد که نشان دهنده IP های طیف حامیان مالی UCEPROTECT است. در نتیجه UCEPROTECT آدرس حامیان مالی خود و بسیاری از افراد بی گناه دیگر را در پایگاه داده خود وارد کرد که مشکلاتی را در ارسال ایمیل ایجاد کرد. شبکه CDN Sucuri نیز در لیست مسدود کننده قرار گرفت.
منبع: opennet.ru