Vincent Canfield, stjórnandi tölvupósts- og hýsingarsöluaðila cock.li, uppgötvaði að allt IP-netið hans var sjálfkrafa bætt við UCEPROTECT DNSBL listann fyrir gáttaskönnun frá nálægum sýndarvélum. Undirnet Vincents var innifalið í 3. stigs listanum, þar sem lokun fer fram með sjálfstæðum kerfisnúmerum og nær yfir heil undirnet sem ruslpóstskynjarar voru ræstir ítrekað og fyrir mismunandi heimilisföng. Fyrir vikið slökkti M247 veitandinn á auglýsingum á einu af netkerfum sínum í BGP, sem stöðvaði í raun þjónustu.
Vandamálið er að gervi-einkennin netþjónar UCEPROTECT, sem þykjast vera opnir tengiliðir og greina tilraunir til að senda tölvupóst í gegnum þá, bæta sjálfkrafa netföngum við bannlista út frá netvirkni, án þess að staðfesta nettenginguna. Svipuð bannlistaaðferð er einnig notuð af Spamhaus verkefninu.
Til að vera á bannlistanum nægir að senda einn TCP SYN pakka, sem árásarmenn geta nýtt sér. Þar sem tvíhliða TCP tengingarstaðfesting er ekki nauðsynleg er hægt að falsa pakka sem tilgreinir falsa... IP tölur og hefja lokun á hvaða hýsil sem er. Með því að herma eftir virkni frá mörgum vistföngum er hægt að auka lokunina á stig 2 og 3, sem loka eftir undirneti og sjálfstæðu kerfisnúmeri.
3. stigs listinn var upphaflega búinn til til að berjast gegn veitendum sem hvetja til illgjarnrar virkni viðskiptavina og svara ekki kvörtunum (til dæmis hýsingarsíður sem eru sérstaklega búnar til til að hýsa ólöglegt efni eða þjóna ruslpóstsmiðlum). Fyrir nokkrum dögum breytti UCEPROTECT reglum um að komast inn á stig 2 og stig 3 lista, sem leiddi til árásargjarnari síunar og aukningar á stærð listanna. Til dæmis jókst fjöldi færslna á 3. stigs lista úr 28 í 843 sjálfstæð kerfi.
Til að stemma stigu við UCEPROTECT var sú hugmynd sett fram að nota falsað heimilisföng við skönnun sem gefa til kynna IP-tölur úr hópi UCEPROTECT-styrktaraðila. Fyrir vikið færði UCEPROTECT heimilisföng styrktaraðila sinna og margra annarra saklausra manna inn í gagnagrunna sína, sem skapaði vandamál með sendingu tölvupósts. Sucuri CDN netið var einnig með á bannlista.
Heimild: opennet.ru
