Vincent Canfield, správca e-mailového a hostingového predajcu cock.li, zistil, že celá jeho IP sieť bola automaticky pridaná do zoznamu UCEPROTECT DNSBL na skenovanie portov zo susedných virtuálnych strojov. Vincentova podsieť bola zaradená do zoznamu úrovne 3, v ktorom sa blokovanie vykonáva autonómnymi systémovými číslami a pokrýva celé podsiete, z ktorých boli detektory spamu spúšťané opakovane a pre rôzne adresy. V dôsledku toho poskytovateľ M247 zakázal reklamu jednej zo svojich sietí v BGP, čím v skutočnosti pozastavil službu.
Problém je v tom, že falošné servery UCEPROTECT, ktoré predstierajú, že sú otvorené relé a zaznamenávajú pokusy o odoslanie pošty cez seba, automaticky zahŕňajú adresy do zoznamu blokovaných na základe akejkoľvek sieťovej aktivity bez toho, aby kontrolovali nadviazanie sieťového spojenia. Podobný spôsob blocklistingu využíva aj projekt Spamhaus.
Na to, aby ste sa dostali do zoznamu blokovania, stačí poslať jeden TCP SYN paket, ktorý môžu útočníci zneužiť. Najmä, keďže nie je potrebné obojsmerné potvrdenie TCP spojenia, je možné použiť spoofing na odoslanie paketu indikujúceho falošnú IP adresu a iniciovanie vstupu do zoznamu blokovaných ľubovoľných hostiteľov. Pri simulácii aktivity z viacerých adries je možné eskalovať blokovanie na úroveň 2 a úroveň 3, ktoré vykonávajú blokovanie podľa čísel podsiete a autonómneho systému.
Zoznam úrovne 3 bol pôvodne vytvorený s cieľom bojovať proti poskytovateľom, ktorí podporujú zákernú aktivitu zákazníkov a nereagujú na sťažnosti (napríklad hosťovanie stránok špeciálne vytvorených na hosťovanie nezákonného obsahu alebo na poskytovanie spamerov). Pred niekoľkými dňami spoločnosť UCEPROTECT zmenila pravidlá pre vstup do zoznamov úrovne 2 a 3, čo viedlo k agresívnejšiemu filtrovaniu a zvýšeniu veľkosti zoznamov. Napríklad počet záznamov v zozname úrovne 3 vzrástol z 28 na 843 autonómnych systémov.
Aby sa zabránilo UCEPROTECT, bola predstavená myšlienka používať falošné adresy počas skenovania označujúce IP adresy z okruhu sponzorov UCEPROTECT. V dôsledku toho UCEPROTECT zadával adresy svojich sponzorov a mnohých ďalších nevinných ľudí do svojich databáz, čo spôsobilo problémy s doručovaním emailov. Sieť Sucuri CDN bola tiež zaradená do zoznamu blokovaných.
Zdroj: opennet.ru