Vincent Canfield, stjórnandi tölvupósts- og hýsingarsöluaðila cock.li, uppgötvaði að allt IP-netið hans var sjálfkrafa bætt við UCEPROTECT DNSBL listann fyrir gáttaskönnun frá nálægum sýndarvélum. Undirnet Vincents var innifalið í 3. stigs listanum, þar sem lokun fer fram með sjálfstæðum kerfisnúmerum og nær yfir heil undirnet sem ruslpóstskynjarar voru ræstir ítrekað og fyrir mismunandi heimilisföng. Fyrir vikið slökkti M247 veitandinn á auglýsingum á einu af netkerfum sínum í BGP, sem stöðvaði í raun þjónustu.
Vandamálið er að falsaðir UCEPROTECT netþjónar, sem þykjast vera opnir miðlar og taka upp tilraunir til að senda póst í gegnum sjálfa sig, innihalda sjálfkrafa heimilisföng á blokkunarlistanum sem byggjast á hvers kyns netvirkni, án þess að athuga hvort nettenging sé komin á. Svipuð blokkunaraðferð er einnig notuð af Spamhaus verkefninu.
Til að komast inn á lokunarlistann er nóg að senda einn TCP SYN pakka, sem árásarmenn geta nýtt sér. Sérstaklega, þar sem ekki er krafist tvíhliða staðfestingar á TCP-tengingu, er hægt að nota skopstæling til að senda pakka sem gefur til kynna falsað IP-tölu og hefja inngöngu í blokkalista hvers gestgjafa. Þegar líkt er eftir virkni frá nokkrum heimilisföngum er hægt að stækka lokun yfir í 2. og 3. stig, sem framkvæma lokun með undirneti og sjálfstætt kerfisnúmer.
3. stigs listinn var upphaflega búinn til til að berjast gegn veitendum sem hvetja til illgjarnrar virkni viðskiptavina og svara ekki kvörtunum (til dæmis hýsingarsíður sem eru sérstaklega búnar til til að hýsa ólöglegt efni eða þjóna ruslpóstsmiðlum). Fyrir nokkrum dögum breytti UCEPROTECT reglum um að komast inn á stig 2 og stig 3 lista, sem leiddi til árásargjarnari síunar og aukningar á stærð listanna. Til dæmis jókst fjöldi færslna á 3. stigs lista úr 28 í 843 sjálfstæð kerfi.
Til að stemma stigu við UCEPROTECT var sú hugmynd sett fram að nota falsað heimilisföng við skönnun sem gefa til kynna IP-tölur úr hópi UCEPROTECT-styrktaraðila. Fyrir vikið færði UCEPROTECT heimilisföng styrktaraðila sinna og margra annarra saklausra manna inn í gagnagrunna sína, sem skapaði vandamál með sendingu tölvupósts. Sucuri CDN netið var einnig með á bannlista.
Heimild: opennet.ru