Vincent Canfield, Administrateur vun E-Mail an Hosting Reseller cock.li, entdeckt datt säi ganze IP-Netzwierk automatesch op d'UCEPROTECT DNSBL-Lëscht bäigefüügt gouf fir Port Scannen vun Nopesch virtuelle Maschinnen. Dem Vincent säi Subnet war an der Level 3 Lëscht abegraff, an där d'Blockéierung duerch autonom Systemnummeren duerchgefouert gëtt a ganz Subnets ofdeckt, aus deenen Spam Detektoren ëmmer erëm a fir verschidden Adressen ausgeléist goufen. Als Resultat huet de M247 Provider d'Reklamm vun engem vu senge Netzwierker am BGP behënnert, effektiv de Service suspendéiert.
De Problem ass datt gefälschte UCEPROTECT Serveren, déi sech als oppe Relais virstellen an Versich ophuelen fir E-Mail duerch sech selwer ze schécken, automatesch Adressen an der Blocklëscht op Basis vun all Netzwierkaktivitéit enthalen, ouni d'Netzverbindung ze kontrolléieren. Eng ähnlech Blocklistingmethod gëtt och vum Spamhaus-Projet benotzt.
Fir an d'Blockéierungslëscht ze kommen, ass et genuch fir een TCP SYN Paket ze schécken, dee vun Ugräifer exploitéiert ka ginn. Besonnesch, well zwee-Wee Bestätegung vun enger TCP Verbindung net erfuerderlech ass, ass et méiglech Spoofing ze benotzen fir e Paket ze schécken deen eng gefälscht IP Adress ugeet an d'Entrée an d'Spärlëscht vun all Host initiéieren. Wann Dir Aktivitéit vu verschiddenen Adressen simuléiert, ass et méiglech d'Blockéierung op Niveau 2 an Niveau 3 ze eskaléieren, déi Blockéierung duerch Subnetz an autonom Systemnummeren ausféieren.
D'Niveau 3 Lëscht gouf ursprénglech erstallt fir Ubidder ze bekämpfen déi béiswëlleg Clientaktivitéit encouragéieren an net op Reklamatiounen reagéieren (zum Beispill Hosting-Sites speziell erstallt fir illegal Inhalter ze hosten oder Spammeren ze déngen). Virun e puer Deeg huet UCEPROTECT d'Regele fir an den Niveau 2 an den Niveau 3 Lëschte geännert, wat zu enger méi aggressiver Filterung an enger Erhéijung vun der Gréisst vun de Lëschte gefouert huet. Zum Beispill ass d'Zuel vun den Entréen an der Level 3 Lëscht vun 28 op 843 autonom Systemer gewuess.
Fir géint UCEPROTECT entgéint ze wierken, gouf d'Iddi virgestallt fir spoofed Adressen beim Scannen ze benotzen, déi IPen aus der Gamme vun UCEPROTECT Sponsoren uginn. Als Resultat huet UCEPROTECT d'Adresse vu senge Sponsoren a villen aneren onschëllegen Leit an seng Datenbanken aginn, wat Probleemer mat der E-Mail Liwwerung erstallt huet. De Sucuri CDN Netz war och an der Spärlëscht abegraff.
Source: opennet.ru