Сканировние портов привело к блокировке подсети провайдером из-за попадания в список UCEPROTECT

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
14-Фев-2021 13:30

Винсент Кэнфилд (Vincent Canfield), администратор почтового сервиса и хостинга-реселлера cock.li, обнаружил, что всю его IP-сеть автоматически внесли в список DNSBL UCEPROTECT за сканирование портов с соседних виртуальных машин. Подсеть Винсента попала в список Level 3, в котором блокировка осуществляется по номерам автономных систем и охватывает целые подсети, с которых многократно и для разных адресов срабатывали детекторы рассылки спама.
В результате провайдер M247 отключил анонс одной из его сетей в BGP, фактически приостановив обслуживание.
Проблема заключается в том, что подставные серверы
UCEPROTECT, которые притворяются открытыми релеями и фиксируют попытки отправки почты через себя, автоматически включают адреса в список блокировки на основе любой сетевой активности, без проверки установки сетевого соединения. Аналогичный метод помещения в список блокировки также
применяется проектом Spamhaus.
Для попадания в список блокировки достаточно отправить один пакет TCP SYN, чем могут воспользоваться злоумышленники. В частности, так как двустороннего подтверждения TCP-соединения не требуется, можно при помощи спуфинга отправить пакет с указанием поддельного IP-адреса и инициировать попадание в список блокировки любого хоста. При симуляции активности с нескольких адресов можно добиться эскалации блокировки до уровней Level 2 и Level 3, которые выполняют блокировку по подсетям и номерам автономных систем.
Список Level 3 изначально был создан для борьбы с провайдерами, поощряющими вредоносную активность клиентов и не реагирующими на жалобы (например, хостинги, специально создаваемые для размещения нелегального контента или обслуживания спамеров). Несколько дней назад UCEPROTECT изменил правила попадания в списки Level 2 и Level 3, что привело к более агрессивной фильтрации и увеличению размера списков. Например, число записей в списке Level 3 выросло с 28 до 843 автономных систем.
Для противостояния UCEPROTECT была высказана идея использования при сканировании спуфинга адресов с указанием IP из диапазона спонсоров UCEPROTECT. В итоге UCEPROTECT
внёс адреса своих спонсоров и многих других невиновных в свои базы, что создало проблемы с доставкой email. В том числе в список блокировки попала CDN-сеть компании Sucuri.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_rbl, #_dnsbl, #_uceprotect
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 23-Ноя 01:35
Часовой пояс: UTC + 5