Cock.li e-posta ve barındırma satıcısı yöneticisi Vincent Canfield, komşu sanal makinelerden bağlantı noktası taraması için tüm IP ağının otomatik olarak UCEPROTECT DNSBL listesine eklendiğini keşfetti. Vincent'ın alt ağı, engellemenin otonom sistem numaraları tarafından gerçekleştirildiği ve spam dedektörlerinin defalarca ve farklı adresler için tetiklendiği alt ağların tamamını kapsadığı Seviye 3 listesine dahil edildi. Sonuç olarak M247 sağlayıcısı, BGP'deki ağlarından birinin reklamını devre dışı bırakarak hizmeti fiilen askıya aldı.
Sorun şu ki, sahte olanlar... sunucular Açık röle gibi davranan ve bunlar üzerinden e-posta gönderme girişimlerini tespit eden UCEPROTECT, ağ bağlantısını doğrulamadan herhangi bir ağ etkinliğine dayanarak adresleri otomatik olarak engelleme listesine ekler. Spamhaus projesi de benzer bir engelleme yöntemi kullanmaktadır.
Engelleme listesine dahil olmak için tek bir TCP SYN paketi göndermek yeterlidir ve bu durum saldırganlar tarafından istismar edilebilir. Özellikle, iki yönlü TCP bağlantı onayı gerekmediğinden, sahte bir adres belirten bir paket taklit etmek mümkündür. IP adresleri ve herhangi bir sunucunun engellenmesini başlatır. Birden fazla adresten gelen etkinliği simüle ederek, engelleme 2. ve 3. seviyelere yükseltilebilir; bu seviyelerde engelleme alt ağ ve özerk sistem numarasına göre yapılır.
Düzey 3 listesi, başlangıçta kötü niyetli müşteri faaliyetlerini teşvik eden ve şikayetlere yanıt vermeyen sağlayıcılarla (örneğin, özellikle yasa dışı içerik barındırmak veya spam gönderenlere hizmet vermek için oluşturulmuş barındırma siteleri) mücadele etmek için oluşturulmuştur. Birkaç gün önce UCEPROTECT, Düzey 2 ve Düzey 3 listelerine girme kurallarını değiştirdi; bu da daha agresif filtrelemeye ve listelerin boyutunda artışa yol açtı. Örneğin Seviye 3 listesindeki girişlerin sayısı 28'den 843'e çıktı.
UCEPROTECT'e karşı koymak için, tarama sırasında UCEPROTECT sponsorları aralığındaki IP'leri gösteren sahte adreslerin kullanılması fikri ortaya atıldı. Sonuç olarak UCEPROTECT, sponsorlarının ve diğer birçok masum insanın adreslerini veritabanlarına girdi ve bu da e-posta dağıtımında sorunlar yarattı. Sucuri CDN ağı da engelleme listesine dahil edildi.
Kaynak: opennet.ru
