Vincent Canfield, administrator email dan reseller hosting cock.li, menemukan bahwa seluruh jaringan IP miliknya secara otomatis ditambahkan ke daftar DNSBL UCEPROTECT untuk pemindaian port dari mesin virtual tetangga. Subnet Vincent termasuk dalam daftar Level 3, di mana pemblokiran dilakukan oleh nomor sistem otonom dan mencakup seluruh subnet tempat pendeteksi spam dipicu berulang kali dan untuk alamat yang berbeda. Akibatnya, penyedia M247 menonaktifkan iklan salah satu jaringannya di BGP, sehingga secara efektif menangguhkan layanan.
Masalahnya adalah server UCEPROTECT palsu, yang berpura-pura menjadi relay terbuka dan mencatat upaya mengirim email melalui dirinya sendiri, secara otomatis memasukkan alamat dalam daftar blokir berdasarkan aktivitas jaringan apa pun, tanpa memeriksa pembentukan koneksi jaringan. Metode daftar blokir serupa juga digunakan oleh proyek Spamhaus.
Untuk masuk ke daftar pemblokiran, cukup mengirimkan satu paket TCP SYN, yang dapat dimanfaatkan oleh penyerang. Secara khusus, karena konfirmasi dua arah dari koneksi TCP tidak diperlukan, spoofing dapat digunakan untuk mengirim paket yang menunjukkan alamat IP palsu dan memulai entri ke daftar blokir host mana pun. Saat mensimulasikan aktivitas dari beberapa alamat, dimungkinkan untuk meningkatkan pemblokiran ke Level 2 dan Level 3, yang melakukan pemblokiran berdasarkan nomor subjaringan dan sistem otonom.
Daftar Level 3 awalnya dibuat untuk memerangi penyedia yang mendorong aktivitas pelanggan yang jahat dan tidak menanggapi keluhan (misalnya, situs hosting yang khusus dibuat untuk menampung konten ilegal atau melayani pengirim spam). Beberapa hari yang lalu, UCEPROTECT mengubah aturan untuk masuk ke daftar Level 2 dan Level 3, yang menyebabkan pemfilteran lebih agresif dan peningkatan ukuran daftar. Misalnya, jumlah entri dalam daftar Level 3 bertambah dari 28 menjadi 843 sistem otonom.
Untuk melawan UCEPROTECT, ide diajukan untuk menggunakan alamat palsu selama pemindaian yang menunjukkan IP dari berbagai sponsor UCEPROTECT. Akibatnya, UCEPROTECT memasukkan alamat sponsornya dan banyak orang tidak bersalah lainnya ke dalam basis datanya, sehingga menimbulkan masalah dengan pengiriman email. Jaringan Sucuri CDN juga masuk dalam daftar pemblokiran.
Sumber: opennet.ru