Վինսենթ Քենֆիլդը՝ էլ.փոստի և հոսթինգի վերավաճառողի cock.li-ի ադմինիստրատորը, հայտնաբերել է, որ իր ամբողջ IP ցանցը ավտոմատ կերպով ավելացվել է UCEPROTECT DNSBL ցուցակում՝ հարևան վիրտուալ մեքենաներից նավահանգիստների սկանավորման համար: Վինսենթի ենթացանցն ընդգրկվել է 3-րդ մակարդակի ցանկում, որտեղ արգելափակումն իրականացվում է ինքնավար համակարգի համարներով և ընդգրկում է ամբողջ ենթացանցերը, որոնցից սպամի դետեկտորները մի քանի անգամ գործարկվել են և տարբեր հասցեների համար: Արդյունքում, M247 պրովայդերը անջատեց իր ցանցերից մեկի գովազդը BGP-ում՝ փաստացի դադարեցնելով ծառայությունը:
Խնդիրն այն է, որ կեղծ UCEPROTECT սերվերները, որոնք ձևացնում են, թե բաց ռելեներ են և գրանցում են իրենց միջոցով փոստ ուղարկելու փորձերը, ավտոմատ կերպով ներառում են հասցեներ արգելափակման ցուցակում՝ հիմնվելով ցանցային որևէ գործունեության վրա, առանց ցանցային կապը ստուգելու: Նմանատիպ բլոկլիստինգի մեթոդ օգտագործվում է նաև Spamhaus նախագծի կողմից:
Արգելափակման ցուցակ մտնելու համար բավական է ուղարկել մեկ TCP SYN փաթեթ, որը կարող է շահագործվել հարձակվողների կողմից։ Մասնավորապես, քանի որ TCP կապի երկկողմանի հաստատում չի պահանջվում, հնարավոր է օգտագործել կեղծիքը կեղծ IP հասցե ցույց տվող փաթեթ ուղարկելու և ցանկացած հոսթի բլոկ ցուցակ մուտք գործելու համար: Մի քանի հասցեներից գործունեությունը մոդելավորելիս հնարավոր է արգելափակումը հասցնել 2-րդ և 3-րդ մակարդակների, որոնք արգելափակում են ենթացանցով և ինքնավար համակարգի համարներով:
3-րդ մակարդակի ցանկն ի սկզբանե ստեղծվել է պրովայդերների դեմ պայքարելու համար, որոնք խրախուսում են հաճախորդների վնասակար գործունեությունը և չեն արձագանքում բողոքներին (օրինակ՝ հոսթինգ կայքեր, որոնք հատուկ ստեղծված են անօրինական բովանդակություն հյուրընկալելու կամ սպամերներին սպասարկելու համար): Մի քանի օր առաջ UCEPROTECT-ը փոխեց 2-րդ և 3-րդ մակարդակների ցուցակներ մտնելու կանոնները, ինչը հանգեցրեց ավելի ագրեսիվ զտման և ցուցակների չափի ավելացման: Օրինակ, 3-րդ մակարդակի ցուցակում գրառումների թիվը 28-ից աճել է մինչև 843 ինքնավար համակարգեր:
UCEPROTECT-ին դիմակայելու համար գաղափարն առաջացավ օգտագործել կեղծ հասցեներ սկանավորման ժամանակ՝ նշելով UCEPROTECT-ի հովանավորների շարքից IP-ները: Արդյունքում UCEPROTECT-ը մուտքագրել է իր հովանավորների և բազմաթիվ այլ անմեղ մարդկանց հասցեները իր տվյալների բազաներում, ինչը խնդիրներ է ստեղծել էլ.փոստի առաքման հետ կապված: Արգելափակման ցուցակում ներառվել է նաև Sucuri CDN ցանցը։
Source: opennet.ru