Винсент Кэнфилд, электрондук почтанын администратору жана cock.li хостинг сатуучусу, анын бүт IP тармагы кошуна виртуалдык машиналардан порт сканерлөө үчүн UCEPROTECT DNSBL тизмесине автоматтык түрдө кошулганын аныктады. Винсенттин ички тармагы 3-деңгээлдин тизмесине киргизилген, анда бөгөттөө автономдуу системанын номерлери аркылуу ишке ашырылат жана спам детекторлору ар кандай даректер үчүн кайра-кайра иштетилген бардык ички тармактарды камтыйт. Натыйжада, M247 провайдери өзүнүн тармактарынын биринин BGPдеги жарнамасын өчүрүп, кызматты натыйжалуу токтотуп койду.
Маселе, ачык реле болуп көрүнгөн жана өздөрү аркылуу кат жөнөтүү аракетин жазып алган жасалма UCEPROTECT серверлери тармактык байланышты текшербестен, ар кандай тармактык активдүүлүктүн негизинде блоктордун тизмесине автоматтык түрдө даректерди киргизет. Окшош бөгөттөө ыкмасы Spamhaus долбоору тарабынан да колдонулат.
Бөгөттөө тизмесине кирүү үчүн бир TCP SYN пакетин жөнөтүү жетиштүү, аны чабуулчулар пайдалана алат. Атап айтканда, TCP туташуусун эки тараптуу тастыктоо талап кылынбагандыктан, жасалма IP даректи көрсөткөн пакетти жөнөтүү жана каалаган хосттун бөгөттөөлөр тизмесине киргизүү үчүн спуфингди колдонууга болот. Бир нече даректерден иш-аракетти имитациялоодо, бөгөттөөнү 2-деңгээлге жана 3-деңгээлге чейин көтөрүүгө болот, алар подтармактар жана автономдуу тутум номерлери боюнча бөгөттөөнү жүзөгө ашырат.
3-деңгээл тизмеси алгач кардарлардын зыяндуу аракеттерин кубаттаган жана даттанууларга жооп бербеген провайдерлер менен күрөшүү үчүн түзүлгөн (мисалы, мыйзамсыз мазмунду жайгаштыруу же спам жасоочуларды тейлөө үчүн атайын түзүлгөн хостинг сайттары). Бир нече күн мурун UCEPROTECT 2-деңгээл жана 3-деңгээл тизмелерине кирүү эрежелерин өзгөрттү, бул агрессивдүү чыпкалоого жана тизмелердин өлчөмүн көбөйтүүгө алып келди. Мисалы, 3-деңгээлдеги тизмедеги жазуулардын саны 28ден 843 автономдуу системага чейин өстү.
UCEPROTECTке каршы туруу үчүн, UCEPROTECT демөөрчүлөрүнүн диапазонундагы IP даректерин көрсөтүү менен сканерлөө учурунда жасалма даректерди колдонуу идеясы алдыга коюлган. Натыйжада, UCEPROTECT өзүнүн демөөрчүлөрүнүн жана башка көптөгөн бейкүнөө адамдардын даректерин өзүнүн маалымат базасына киргизип, электрондук почтаны жеткирүүдө көйгөйлөрдү жараткан. Sucuri CDN тармагы да бөгөттөөлөр тизмесине киргизилген.
Source: opennet.ru