Vincent Canfield, administratori i postës elektronike dhe rishitësi pritës cock.li, zbuloi se i gjithë rrjeti i tij IP u shtua automatikisht në listën UCEPROTECT DNSBL për skanimin e porteve nga makinat virtuale fqinje. Nënrrjeti i Vincent u përfshi në listën e Nivelit 3, në të cilin bllokimi kryhet nga numra të sistemit autonom dhe mbulon nënrrjeta të tëra nga të cilat detektorët e spam janë aktivizuar në mënyrë të përsëritur dhe për adresa të ndryshme. Si rezultat, ofruesi M247 çaktivizoi reklamimin e një prej rrjeteve të tij në BGP, duke pezulluar efektivisht shërbimin.
Problemi është se serverët e rremë UCEPROTECT, të cilët pretendojnë se janë reletë të hapura dhe regjistrojnë përpjekjet për të dërguar postë përmes tyre, përfshijnë automatikisht adresat në listën e bllokut bazuar në çdo aktivitet të rrjetit, pa kontrolluar lidhjen e rrjetit. Një metodë e ngjashme bllokimi përdoret gjithashtu nga projekti Spamhaus.
Për të hyrë në listën e bllokimit, mjafton të dërgoni një paketë TCP SYN, e cila mund të shfrytëzohet nga sulmuesit. Në veçanti, meqenëse konfirmimi i dyanshëm i një lidhjeje TCP nuk kërkohet, është e mundur të përdoret mashtrimi për të dërguar një paketë që tregon një adresë IP të rreme dhe për të filluar hyrjen në listën e bllokut të çdo hosti. Kur simuloni aktivitetin nga disa adresa, është e mundur të përshkallëzoni bllokimin në Nivelin 2 dhe Nivelin 3, të cilët kryejnë bllokimin nga nënrrjeti dhe numrat e sistemit autonom.
Lista e Nivelit 3 u krijua fillimisht për të luftuar ofruesit që inkurajojnë aktivitetin keqdashës të klientëve dhe nuk u përgjigjen ankesave (për shembull, strehimi i sajteve të krijuara posaçërisht për të pritur përmbajtje të paligjshme ose për t'u shërbyer spamerëve). Pak ditë më parë, UCEPROTECT ndryshoi rregullat për hyrjen në listat e nivelit 2 dhe nivelit 3, gjë që çoi në filtrim më agresiv dhe një rritje të madhësisë së listave. Për shembull, numri i hyrjeve në listën e Nivelit 3 u rrit nga 28 në 843 sisteme autonome.
Për të kundërshtuar UCEPROTECT, u parashtrua ideja për të përdorur adresa të falsifikuara gjatë skanimit që tregonin IP nga diapazoni i sponsorëve të UCEPROTECT. Si rezultat, UCEPROTECT futi adresat e sponsorëve të saj dhe shumë njerëzve të tjerë të pafajshëm në bazat e të dhënave të tij, gjë që krijoi probleme me dërgimin e emaileve. Në listën e bllokimit u përfshi edhe rrjeti Sucuri CDN.
Burimi: opennet.ru