Vincent Canfield, správca e-mailového a hostingového predajcu cock.li, zistil, že celá jeho IP sieť bola automaticky pridaná do zoznamu UCEPROTECT DNSBL na skenovanie portov zo susedných virtuálnych strojov. Vincentova podsieť bola zaradená do zoznamu úrovne 3, v ktorom sa blokovanie vykonáva autonómnymi systémovými číslami a pokrýva celé podsiete, z ktorých boli detektory spamu spúšťané opakovane a pre rôzne adresy. V dôsledku toho poskytovateľ M247 zakázal reklamu jednej zo svojich sietí v BGP, čím v skutočnosti pozastavil službu.
Problém je v tom, že tie figuríny servery UCEPROTECT, ktoré sa vydávajú za otvorené relé a detegujú pokusy o odoslanie e-mailu cez ne, automaticky pridávajú adresy do zoznamu blokovaných adries na základe akejkoľvek sieťovej aktivity bez overovania sieťového pripojenia. Podobnú metódu zostavovania zoznamu blokovaných adries používa aj projekt Spamhaus.
Na zaradenie do zoznamu blokovaných položiek stačí odoslať jeden TCP SYN paket, čo môžu útočníci zneužiť. Keďže nie je potrebné obojsmerné potvrdenie TCP pripojenia, je možné sfalšovať paket s falošnou adresou. IP adresy a spustiť blokovanie ľubovoľného hostiteľa. Simuláciou aktivity z viacerých adries je možné blokovanie eskalovať na úroveň 2 a úroveň 3, ktoré blokujú podľa podsiete a čísla autonómneho systému.
Zoznam úrovne 3 bol pôvodne vytvorený s cieľom bojovať proti poskytovateľom, ktorí podporujú zákernú aktivitu zákazníkov a nereagujú na sťažnosti (napríklad hosťovanie stránok špeciálne vytvorených na hosťovanie nezákonného obsahu alebo na poskytovanie spamerov). Pred niekoľkými dňami spoločnosť UCEPROTECT zmenila pravidlá pre vstup do zoznamov úrovne 2 a 3, čo viedlo k agresívnejšiemu filtrovaniu a zvýšeniu veľkosti zoznamov. Napríklad počet záznamov v zozname úrovne 3 vzrástol z 28 na 843 autonómnych systémov.
Aby sa zabránilo UCEPROTECT, bola predstavená myšlienka používať falošné adresy počas skenovania označujúce IP adresy z okruhu sponzorov UCEPROTECT. V dôsledku toho UCEPROTECT zadával adresy svojich sponzorov a mnohých ďalších nevinných ľudí do svojich databáz, čo spôsobilo problémy s doručovaním emailov. Sieť Sucuri CDN bola tiež zaradená do zoznamu blokovaných.
Zdroj: opennet.ru
