Винсент Канфилд, администратор на е-пошта и препродавач на хостинг cock.li, откри дека целата негова IP мрежа е автоматски додадена на листата на UCEPROTECT DNSBL за скенирање на порти од соседните виртуелни машини. Подмрежата на Винсент беше вклучена во листата на Ниво 3, во која блокирањето се врши со автономни системски броеви и опфаќа цели подмрежи од кои постојано се активираа детекторите за спам и за различни адреси. Како резултат на тоа, провајдерот M247 го оневозможи рекламирањето на една од неговите мрежи во BGP, ефикасно суспендирајќи ја услугата.
Проблемот е што лажните UCEPROTECT сервери, кои се преправаат дека се отворени релеи и снимаат обиди за испраќање пошта преку себе, автоматски вклучуваат адреси во блок листата врз основа на која било мрежна активност, без проверка на воспоставување мрежна врска. Сличен метод на блокирање се користи и од проектот Spamhaus.
За да влезете во списокот за блокирање, доволно е да испратите еден TCP SYN пакет, кој може да биде експлоатиран од напаѓачите. Особено, бидејќи не е потребна двонасочна потврда за TCP конекција, можно е да се користи измама за да се испрати пакет што укажува на лажна IP адреса и да се иницира внесување во блок листата на кој било хост. Кога се симулира активност од неколку адреси, можно е блокирањето да се ескалира до Ниво 2 и Ниво 3, кои вршат блокирање со подмрежа и автономни системски броеви.
Списокот на ниво 3 првично беше создаден за да се бори против давателите на услуги кои поттикнуваат малициозни активности на клиентите и не одговараат на поплаки (на пример, хостирање страници специјално создадени за хостирање на нелегална содржина или опслужување на спамери). Пред неколку дена, UCEPROTECT ги смени правилата за влегување во листите Ниво 2 и Ниво 3, што доведе до поагресивно филтрирање и зголемување на големината на листите. На пример, бројот на записи во листата на Ниво 3 порасна од 28 на 843 автономни системи.
За да се спротивстави на UCEPROTECT, беше изнесена идејата да се користат лажни адреси за време на скенирањето што укажува на IP од опсегот на спонзори на UCEPROTECT. Како резултат на тоа, UCEPROTECT ги внесе адресите на своите спонзори и многу други невини луѓе во своите бази на податоци, што создаде проблеми со испораката на е-пошта. Мрежата Sucuri CDN исто така беше вклучена во листата за блокирање.
Извор: opennet.ru