Vincent Canfield 是電子郵件和託管經銷商 cock.li 的管理員,他發現他的整個 IP 網路自動添加到 UCEPROTECT DNSBL 清單中,以便從相鄰虛擬機器進行連接埠掃描。 Vincent 的子網路包含在 3 級清單中,其中透過自治系統編號進行阻止,並覆蓋針對不同位址重複觸發垃圾郵件偵測器的整個子網路。 結果,M247 提供者禁用了 BGP 中其網路之一的廣告,從而有效地暫停了服務。
問題在於,假冒的 UCEPROTECT 伺服器偽裝成開放中繼並記錄透過自身發送郵件的嘗試,會根據任何網路活動自動將位址包含在封鎖清單中,而不檢查網路連線的建立。 Spamhaus 專案也使用了類似的封鎖清單方法。
若要進入封鎖列表,只需發送 TCP SYN 封包即可,該封包可被攻擊者利用。 特別是,由於不需要 TCP 連線的雙向確認,因此可以使用欺騙來發送指示虛假 IP 位址的封包並啟動進入任何主機的封鎖清單。 當模擬來自多個位址的活動時,可以將阻止升級到 2 級和 3 級,即按子網路和自治系統編號執行阻止。
3 級清單最初是為了打擊鼓勵惡意客戶活動且不回應投訴的提供者(例如,專門為託管非法內容或為垃圾郵件發送者提供服務而創建的託管網站)。 幾天前,UCEPROTECT 更改了進入 2 級和 3 級清單的規則,這導致了更積極的過濾和清單大小的增加。 例如,3級清單中的條目數量從28個自治系統增加到843個。
為了對抗 UCEPROTECT,提出了在掃描期間使用欺騙位址來指示來自 UCEPROTECT 贊助商範圍的 IP 的想法。 結果,UCEPROTECT 將其贊助商和許多其他無辜者的地址輸入到其資料庫中,這造成了電子郵件傳遞問題。 Sucuri CDN 網路也被列入封鎖名單。
來源: opennet.ru