Сканировние портов привело к блокировке подсети провайдером из-за попадания в список UCEPROTECT

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 15 Feb 2021.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,484
    Likes Received:
    7,075
    Reputations:
    693
    Винсент Кэнфилд (Vincent Canfield), администратор почтового сервиса и хостинга-реселлера cock.li, обнаружил, что всю его IP-сеть автоматически внесли в список DNSBL UCEPROTECT за сканирование портов с соседних виртуальных машин. Подсеть Винсента попала в список Level 3, в котором блокировка осуществляется по номерам автономных систем и охватывает целые подсети, с которых многократно и для разных адресов срабатывали детекторы рассылки спама. В результате провайдер M247 отключил анонс одной из его сетей в BGP, фактически приостановив обслуживание.

    Проблема заключается в том, что подставные серверы UCEPROTECT, которые притворяются открытыми релеями и фиксируют попытки отправки почты через себя, автоматически включают адреса в список блокировки на основе любой сетевой активности, без проверки установки сетевого соединения. Аналогичный метод помещения в список блокировки также применяется проектом Spamhaus.

    Для попадания в список блокировки достаточно отправить один пакет TCP SYN, чем могут воспользоваться злоумышленники. В частности, так как двустороннего подтверждения TCP-соединения не требуется, можно при помощи спуфинга отправить пакет с указанием поддельного IP-адреса и инициировать попадание в список блокировки любого хоста. При симуляции активности с нескольких адресов можно добиться эскалации блокировки до уровней Level 2 и Level 3, которые выполняют блокировку по подсетям и номерам автономных систем.

    Список Level 3 изначально был создан для борьбы с провайдерами, поощряющими вредоносную активность клиентов и не реагирующими на жалобы (например, хостинги, специально создаваемые для размещения нелегального контента или обслуживания спамеров). Несколько дней назад UCEPROTECT изменил правила попадания в списки Level 2 и Level 3, что привело к более агрессивной фильтрации и увеличению размера списков. Например, число записей в списке Level 3 выросло с 28 до 843 автономных систем.

    Для противостояния UCEPROTECT была высказана идея использования при сканировании спуфинга адресов с указанием IP из диапазона спонсоров UCEPROTECT. В итоге UCEPROTECT внёс адреса своих спонсоров и многих других невиновных в свои базы, что создало проблемы с доставкой email. В том числе в список блокировки попала CDN-сеть компании Sucuri.

     
    _________________________
    #1 Suicide, 15 Feb 2021
    alexzir, CyberTro1n, seostock and 1 other person like this.
  2. alexzir

    alexzir Elder - Старейшина

    Joined:
    29 Oct 2019
    Messages:
    984
    Likes Received:
    2,393
    Reputations:
    25
    Это как у нас внесли в чёрный список РКН сайт РКН за распространение информации, могущей нанести вред здоровью детей :)
     
    #2 alexzir, 19 Feb 2021
  3. Madmin

    Madmin Member

    Joined:
    19 Feb 2021
    Messages:
    19
    Likes Received:
    9
    Reputations:
    0
    Стоит также обратить внимание на стоимость быстрого извлечения из этого спамсписка, 100$ за 1 IP. Обычные вымогатели. Очень жаль, что провайдеры на них реагируют.
     
    #3 Madmin, 19 Feb 2021
(You must log in or sign up to post here.)
Loading...
Similar Threads - Сканировние портов привело
  1. alexzir

    Очередное обновление "Защитника Windows" привело к удалению ярлыков программ из стартового меню

    alexzir, 14 Jan 2023, in forum: Мировые новости. Обсуждения.
    Replies:
    0
    Views:
    2,021
    alexzir
    14 Jan 2023
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.