Vincent Canfield, administratorul reseller-ului de e-mail și hosting cock.li, a descoperit că întreaga sa rețea IP a fost adăugată automat la lista UCEPROTECT DNSBL pentru scanarea portului de la mașinile virtuale învecinate. Subrețeaua lui Vincent a fost inclusă în lista de Nivelul 3, în care blocarea este efectuată prin numere de sistem autonome și acoperă subrețele întregi din care detectoarele de spam au fost declanșate în mod repetat și pentru adrese diferite. Drept urmare, furnizorul M247 a dezactivat publicitatea uneia dintre rețelele sale în BGP, suspendând efectiv serviciul.
Problema este că serverele UCEPROTECT false, care se prefac a fi relee deschise și înregistrează încercările de a trimite mail prin ele însele, includ automat adrese în lista de blocare pe baza oricărei activități în rețea, fără a verifica stabilirea unei conexiuni la rețea. O metodă similară de blocare este folosită și de proiectul Spamhaus.
Pentru a intra în lista de blocare, este suficient să trimiteți un pachet TCP SYN, care poate fi exploatat de atacatori. În special, deoarece nu este necesară confirmarea bidirecțională a unei conexiuni TCP, este posibil să se utilizeze falsificarea pentru a trimite un pachet care indică o adresă IP falsă și a iniția intrarea în lista de blocare a oricărei gazde. Când se simulează activitatea de la mai multe adrese, este posibilă escaladarea blocării la Nivelul 2 și Nivelul 3, care efectuează blocare prin numere de subrețea și sistem autonom.
Lista de nivel 3 a fost creată inițial pentru a combate furnizorii care încurajează activitatea clienților rău intenționați și nu răspund la reclamații (de exemplu, site-uri de găzduire create special pentru a găzdui conținut ilegal sau pentru a servi spammeri). În urmă cu câteva zile, UCEPROTECT a schimbat regulile de intrare în listele Nivelul 2 și Nivelul 3, ceea ce a dus la o filtrare mai agresivă și la creșterea dimensiunii listelor. De exemplu, numărul de intrări din lista de Nivel 3 a crescut de la 28 la 843 de sisteme autonome.
Pentru a contracara UCEPROTECT, a fost înaintată ideea de a folosi adrese falsificate în timpul scanării, indicând IP-uri din gama sponsorilor UCEPROTECT. Drept urmare, UCEPROTECT a introdus în bazele de date adresele sponsorilor săi și ale multor alte persoane nevinovate, ceea ce a creat probleme cu livrarea e-mailurilor. În lista de blocare a fost inclusă și rețeaua Sucuri CDN.
Sursa: opennet.ru