ProHoster > وبلاگ > اخبار اینترنتی > اسکن پورت منجر به مسدود شدن زیرشبکه توسط ارائه دهنده به دلیل قرار گرفتن در لیست UCEPROTECT شد.

اسکن پورت منجر به مسدود شدن زیرشبکه توسط ارائه دهنده به دلیل قرار گرفتن در لیست UCEPROTECT شد.

وینسنت کنفیلد، مدیر ایمیل و فروشنده میزبانی cock.li، متوجه شد که کل شبکه IP او به طور خودکار به لیست UCEPROTECT DNSBL برای اسکن پورت از ماشین های مجازی همسایه اضافه شده است. زیرشبکه وینسنت در لیست سطح 3 گنجانده شد که در آن مسدود کردن توسط شماره های سیستم مستقل انجام می شود و کل زیرشبکه هایی را پوشش می دهد که آشکارسازهای هرزنامه به طور مکرر و برای آدرس های مختلف فعال شده اند. در نتیجه، ارائه دهنده M247 تبلیغات یکی از شبکه های خود را در BGP غیرفعال کرد و عملاً سرویس را به حالت تعلیق درآورد.

مشکل این است که سرورهای جعلی UCEPROTECT، که وانمود می‌کنند رله‌های باز هستند و تلاش‌هایی را برای ارسال نامه از طریق خودشان ضبط می‌کنند، به‌طور خودکار آدرس‌هایی را بر اساس هر فعالیت شبکه، بدون بررسی برقراری اتصال شبکه، در لیست بلوک قرار می‌دهند. یک روش مشابه فهرست بلاک نیز توسط پروژه Spamhaus استفاده می شود.

برای ورود به لیست مسدود کردن، کافی است یک بسته TCP SYN ارسال کنید که می تواند توسط مهاجمان مورد سوء استفاده قرار گیرد. به طور خاص، از آنجایی که تأیید دو طرفه اتصال TCP مورد نیاز نیست، می توان از جعل برای ارسال بسته ای که نشان دهنده یک آدرس IP جعلی است و شروع ورود به لیست بلوک هر میزبانی استفاده کرد. هنگام شبیه‌سازی فعالیت از چندین آدرس، می‌توان انسداد را به سطح 2 و سطح 3 افزایش داد که توسط زیرشبکه و شماره‌های سیستم مستقل مسدودسازی می‌کنند.

لیست سطح 3 در ابتدا برای مبارزه با ارائه دهندگانی ایجاد شد که فعالیت های مخرب مشتری را تشویق می کنند و به شکایات پاسخ نمی دهند (به عنوان مثال، میزبانی سایت هایی که به طور خاص برای میزبانی محتوای غیرقانونی یا ارائه خدمات به ارسال کنندگان هرزنامه ایجاد شده اند). چند روز پیش، UCEPROTECT قوانین ورود به لیست های سطح 2 و سطح 3 را تغییر داد که منجر به فیلترینگ تهاجمی تر و افزایش اندازه لیست ها شد. به عنوان مثال، تعداد ورودی‌های فهرست سطح 3 از 28 به 843 سیستم مستقل افزایش یافت.

برای مقابله با UCEPROTECT، این ایده برای استفاده از آدرس های جعلی در طول اسکن ارائه شد که نشان دهنده IP های طیف حامیان مالی UCEPROTECT است. در نتیجه UCEPROTECT آدرس حامیان مالی خود و بسیاری از افراد بی گناه دیگر را در پایگاه داده خود وارد کرد که مشکلاتی را در ارسال ایمیل ایجاد کرد. شبکه CDN Sucuri نیز در لیست مسدود کننده قرار گرفت.

منبع: opennet.ru

اضافه کردن نظر