Vincent Canfield 是电子邮件和托管经销商 cock.li 的管理员,他发现他的整个 IP 网络被自动添加到 UCEPROTECT DNSBL 列表中,以便从相邻虚拟机进行端口扫描。 Vincent 的子网包含在 3 级列表中,其中通过自治系统编号进行阻止,并覆盖针对不同地址重复触发垃圾邮件检测器的整个子网。 结果,M247 提供商禁用了 BGP 中其网络之一的广告,从而有效地暂停了服务。
问题在于,假冒的 UCEPROTECT 服务器伪装成开放中继并记录通过自身发送邮件的尝试,会根据任何网络活动自动将地址包含在阻止列表中,而不检查网络连接的建立。 Spamhaus 项目也使用了类似的阻止列表方法。
要进入阻止列表,只需发送一个 TCP SYN 数据包即可,该数据包可被攻击者利用。 特别是,由于不需要 TCP 连接的双向确认,因此可以使用欺骗来发送指示虚假 IP 地址的数据包并启动进入任何主机的阻止列表。 当模拟来自多个地址的活动时,可以将阻止升级到 2 级和 3 级,即按子网和自治系统编号执行阻止。
3 级列表最初是为了打击鼓励恶意客户活动且不回应投诉的提供商(例如,专门为托管非法内容或为垃圾邮件发送者提供服务而创建的托管网站)。 几天前,UCEPROTECT 更改了进入 2 级和 3 级列表的规则,这导致了更积极的过滤和列表大小的增加。 例如,3级列表中的条目数量从28个自治系统增加到843个。
为了对抗 UCEPROTECT,提出了在扫描期间使用欺骗地址来指示来自 UCEPROTECT 赞助商范围的 IP 的想法。 结果,UCEPROTECT 将其赞助商和许多其他无辜者的地址输入到其数据库中,这造成了电子邮件传递问题。 Sucuri CDN 网络也被列入封锁名单。
来源: opennet.ru