Vincent Canfield ผู้ดูแลระบบอีเมลและตัวแทนจำหน่ายโฮสติ้ง cock.li ค้นพบว่าเครือข่าย IP ทั้งหมดของเขาถูกเพิ่มในรายการ UCEPROTECT DNSBL โดยอัตโนมัติสำหรับการสแกนพอร์ตจากเครื่องเสมือนที่อยู่ใกล้เคียง ซับเน็ตของ Vincent ถูกรวมอยู่ในรายการระดับ 3 ซึ่งการบล็อกจะดำเนินการโดยหมายเลขระบบอัตโนมัติและครอบคลุมซับเน็ตทั้งหมดที่เครื่องตรวจจับสแปมถูกกระตุ้นซ้ำ ๆ และสำหรับที่อยู่ที่แตกต่างกัน ด้วยเหตุนี้ ผู้ให้บริการ M247 จึงปิดใช้งานการโฆษณาเครือข่ายใดเครือข่ายหนึ่งใน BGP และระงับบริการอย่างมีประสิทธิภาพ
ปัญหาคือเซิร์ฟเวอร์ UCEPROTECT ปลอมซึ่งปลอมเป็นรีเลย์เปิดและบันทึกความพยายามในการส่งอีเมลผ่านเซิร์ฟเวอร์เหล่านั้น จะรวมที่อยู่ในรายการบล็อกโดยอัตโนมัติตามกิจกรรมเครือข่ายใดๆ โดยไม่ตรวจสอบการสร้างการเชื่อมต่อเครือข่าย โครงการ Spamhaus ก็ใช้วิธีการบล็อกรายการที่คล้ายกันเช่นกัน
หากต้องการเข้าสู่รายการบล็อกก็เพียงพอที่จะส่งแพ็กเก็ต TCP SYN หนึ่งชุดซึ่งผู้โจมตีสามารถถูกโจมตีได้ โดยเฉพาะอย่างยิ่ง เนื่องจากไม่จำเป็นต้องมีการยืนยันการเชื่อมต่อ TCP แบบสองทาง จึงเป็นไปได้ที่จะใช้การปลอมแปลงเพื่อส่งแพ็กเก็ตที่ระบุที่อยู่ IP ปลอม และเริ่มรายการในรายการบล็อกของโฮสต์ใดๆ เมื่อจำลองกิจกรรมจากที่อยู่หลายแห่ง เป็นไปได้ที่จะขยายการบล็อกเป็นระดับ 2 และระดับ 3 ซึ่งดำเนินการบล็อกโดยเครือข่ายย่อยและหมายเลขระบบอัตโนมัติ
เดิมทีรายการระดับ 3 ถูกสร้างขึ้นเพื่อต่อสู้กับผู้ให้บริการที่ส่งเสริมกิจกรรมของลูกค้าที่เป็นอันตราย และไม่ตอบสนองต่อข้อร้องเรียน (เช่น การโฮสต์ไซต์ที่สร้างขึ้นโดยเฉพาะเพื่อโฮสต์เนื้อหาที่ผิดกฎหมายหรือให้บริการผู้ส่งอีเมลขยะ) เมื่อไม่กี่วันที่ผ่านมา UCEPROTECT ได้เปลี่ยนกฎในการเข้าสู่รายการระดับ 2 และระดับ 3 ซึ่งนำไปสู่การกรองที่เข้มงวดมากขึ้นและเพิ่มขนาดของรายการ ตัวอย่างเช่น จำนวนรายการในรายการระดับ 3 เพิ่มขึ้นจาก 28 เป็น 843 ระบบอัตโนมัติ
เพื่อตอบโต้ UCEPROTECT แนวคิดนี้จึงถูกเสนอให้ใช้ที่อยู่ปลอมในระหว่างการสแกน โดยระบุ IP จากกลุ่มผู้สนับสนุน UCEPROTECT ด้วยเหตุนี้ UCEPROTECT จึงป้อนที่อยู่ของผู้สนับสนุนและผู้บริสุทธิ์อื่นๆ ลงในฐานข้อมูล ซึ่งสร้างปัญหาในการส่งอีเมล เครือข่าย Sucuri CDN ก็รวมอยู่ในรายการบล็อกด้วย
ที่มา: opennet.ru