電子メールおよびホスティング リセラー Cock.li の管理者である Vincent Canfield は、近隣の仮想マシンからのポート スキャンのために、自分の IP ネットワーク全体が UCEPROTECT DNSBL リストに自動的に追加されていることを発見しました。 Vincent のサブネットはレベル 3 リストに含まれており、ブロックは自律システム番号によって実行され、スパム検出器が繰り返しトリガーされ、さまざまなアドレスに対してトリガーされたサブネット全体をカバーします。 その結果、M247 プロバイダーは BGP でのネットワークの XNUMX つのアドバタイズを無効にし、事実上サービスを停止しました。
問題は、偽の UCEPROTECT サーバーが、オープン リレーを装い、自身を介したメール送信の試みを記録し、ネットワーク接続をチェックせずに、ネットワーク アクティビティに基づいてアドレスを自動的にブロック リストに含めることです。 同様のブロックリスト手法が Spamhaus プロジェクトでも使用されています。
ブロック リストに登録するには、TCP SYN パケットを 2 つ送信するだけで十分ですが、攻撃者が悪用する可能性があります。 特に、TCP 接続の双方向確認は必要ないため、スプーフィングを使用して偽の IP アドレスを示すパケットを送信し、任意のホストのブロック リストへのエントリを開始することが可能です。 複数のアドレスからのアクティビティをシミュレートする場合、ブロックをレベル 3 およびレベル XNUMX にエスカレートして、サブネットワークおよび自律システム番号によるブロックを実行することができます。
レベル 3 リストは元々、悪意のある顧客活動を奨励し、苦情に応じないプロバイダー (たとえば、違法なコンテンツをホストしたり、スパム送信者にサービスを提供するために特別に作成されたホスティング サイト) に対抗するために作成されました。 数日前、UCEPROTECT はレベル 2 およびレベル 3 リストに入るルールを変更しました。これにより、より積極的なフィルタリングが行われ、リストのサイズが増加しました。 たとえば、レベル 3 リストのエントリの数は、28 から 843 の自律システムに増加しました。
UCEPROTECT に対抗するために、UCEPROTECT スポンサーの範囲からの IP を示すスプーフィング アドレスをスキャン中に使用するというアイデアが提案されました。 その結果、UCEPROTECT はスポンサーや他の多くの無実の人々のアドレスをデータベースに入力し、電子メールの配信に問題が発生しました。 Sucuri CDN ネットワークもブロック リストに含まれていました。
出所: オープンネット.ru