Vinsent Kanfild, cock.li elektron pochta va xosting sotuvchisi ma'muri, uning butun IP tarmog'i qo'shni virtual mashinalardan portlarni skanerlash uchun avtomatik ravishda UCEPROTECT DNSBL ro'yxatiga qo'shilganligini aniqladi. Vinsentning quyi tarmog'i 3-darajali ro'yxatga kiritilgan bo'lib, unda blokirovka avtonom tizim raqamlari bilan amalga oshiriladi va spam detektorlari qayta-qayta va turli manzillar uchun ishga tushirilgan butun ichki tarmoqlarni qamrab oladi. Natijada, M247 provayderi BGP-da o'z tarmoqlaridan birining reklamasini o'chirib qo'ydi va xizmatni samarali ravishda to'xtatdi.
Muammo shundaki, o‘zini ochiq releydek ko‘rsatuvchi va o‘zlari orqali pochta jo‘natish urinishlarini qayd etuvchi soxta UCEPROTECT serverlari tarmoq ulanishining o‘rnatilishini tekshirmasdan, har qanday tarmoq faolligi asosida avtomatik ravishda manzillarni bloklash ro‘yxatiga kiritadi. Shunga o'xshash bloklash usuli Spamhaus loyihasi tomonidan ham qo'llaniladi.
Bloklash ro'yxatiga kirish uchun tajovuzkorlar tomonidan ishlatilishi mumkin bo'lgan bitta TCP SYN paketini yuborish kifoya. Xususan, TCP ulanishining ikki tomonlama tasdiqlanishi talab qilinmaganligi sababli, soxta IP-manzilni ko'rsatuvchi paketni yuborish va istalgan xost bloklari ro'yxatiga kirishni boshlash uchun spoofingdan foydalanish mumkin. Bir nechta manzillardan faoliyatni taqlid qilganda, blokirovkani quyi tarmoq va avtonom tizim raqamlari bo'yicha bloklashni amalga oshiradigan 2 va 3 darajaga ko'tarish mumkin.
3-darajali ro'yxat dastlab mijozlarning zararli faoliyatini rag'batlantiradigan va shikoyatlarga javob bermaydigan provayderlarga qarshi kurashish uchun yaratilgan (masalan, noqonuniy kontentni joylashtirish yoki spamerlarga xizmat ko'rsatish uchun maxsus yaratilgan hosting saytlari). Bir necha kun oldin UCEPROTECT 2 va 3-darajali ro'yxatlarga kirish qoidalarini o'zgartirdi, bu esa yanada agressiv filtrlash va ro'yxatlar hajmining oshishiga olib keldi. Masalan, 3-darajali ro'yxatdagi yozuvlar soni 28 tadan 843 ta avtonom tizimga o'sdi.
UCEPROTECTga qarshi turish uchun skanerlashda UCEPROTECT homiylari qatoridagi IP manzillarini ko'rsatuvchi soxta manzillardan foydalanish g'oyasi ilgari surildi. Natijada, UCEPROTECT o'z homiylari va boshqa ko'plab begunoh odamlarning manzillarini o'z ma'lumotlar bazalariga kiritdi va bu elektron pochta xabarlarini etkazib berishda muammolarni keltirib chiqardi. Sucuri CDN tarmog'i ham blokirovkalar ro'yxatiga kiritilgan.
Manba: opennet.ru