Vincents Kanfīlds, e-pasta administrators un mitināšanas tālākpārdevējs cock.li, atklāja, ka viss viņa IP tīkls tika automātiski pievienots UCEPROTECT DNSBL sarakstam portu skenēšanai no blakus esošajām virtuālajām mašīnām. Vincenta apakštīkls tika iekļauts 3. līmeņa sarakstā, kurā bloķēšanu veic autonomie sistēmas numuri, un tas aptver veselus apakštīklus, no kuriem atkārtoti un dažādām adresēm tika aktivizēti surogātpasta detektori. Rezultātā M247 pakalpojumu sniedzējs atspējoja viena no saviem tīkliem reklāmu BGP, faktiski apturot pakalpojumu.
Problēma ir tā, ka viltoti UCEPROTECT serveri, kas izliekas par atvērtiem relejiem un reģistrē mēģinājumus sūtīt pastu caur sevi, automātiski iekļauj adreses bloķēšanas sarakstā, pamatojoties uz jebkuru tīkla darbību, nepārbaudot tīkla savienojuma izveidi. Līdzīgu bloķēšanas metodi izmanto arī Spamhaus projekts.
Lai iekļūtu bloķētāju sarakstā, pietiek ar vienu TCP SYN paketi, kuru var izmantot uzbrucēji. Jo īpaši, tā kā TCP savienojuma divvirzienu apstiprinājums nav nepieciešams, ir iespējams izmantot viltošanu, lai nosūtītu paketi, kas norāda viltotu IP adresi, un uzsāktu iekļūšanu jebkura resursdatora bloķēšanas sarakstā. Imitējot darbību no vairākām adresēm, ir iespējams eskalēt bloķēšanu līdz 2. un 3. līmenim, kas veic bloķēšanu pēc apakštīkla un autonomās sistēmas numuriem.
3. līmeņa saraksts sākotnēji tika izveidots, lai cīnītos pret pakalpojumu sniedzējiem, kas veicina klientu ļaunprātīgu darbību un nereaģē uz sūdzībām (piemēram, mitināšanas vietnes, kas īpaši izveidotas, lai mitinātu nelegālu saturu vai apkalpotu surogātpasta izplatītājus). Pirms dažām dienām UCEPROTECT mainīja noteikumus par iekļūšanu 2. un 3. līmeņa sarakstos, kas izraisīja agresīvāku filtrēšanu un sarakstu lieluma palielināšanos. Piemēram, ierakstu skaits 3. līmeņa sarakstā pieauga no 28 līdz 843 autonomām sistēmām.
Lai cīnītos pret UCEPROTECT, tika izvirzīta ideja skenēšanas laikā izmantot viltotas adreses, kas norāda IP no UCEPROTECT sponsoru loka. Rezultātā UCEPROTECT savās datubāzēs ievadīja savu sponsoru un daudzu citu nevainīgu cilvēku adreses, kas radīja problēmas ar e-pasta piegādi. Bloķētāju sarakstā tika iekļauts arī Sucuri CDN tīkls.
Avots: opennet.ru