Сканировние портов привело к блокировке подсети провайдером из-за попадания в список UCEPROTECT
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Винсент Кэнфилд (Vincent Canfield), администратор почтового сервиса и хостинга-реселлера cock.li, обнаружил, что всю его IP-сеть автоматически внесли в список DNSBL UCEPROTECT за сканирование портов с соседних виртуальных машин. Подсеть Винсента попала в список Level 3, в котором блокировка осуществляется по номерам автономных систем и охватывает целые подсети, с которых многократно и для разных адресов срабатывали детекторы рассылки спама.
В результате провайдер M247 отключил анонс одной из его сетей в BGP, фактически приостановив обслуживание.
Проблема заключается в том, что подставные серверы
UCEPROTECT, которые притворяются открытыми релеями и фиксируют попытки отправки почты через себя, автоматически включают адреса в список блокировки на основе любой сетевой активности, без проверки установки сетевого соединения. Аналогичный метод помещения в список блокировки также
применяется проектом Spamhaus.
Для попадания в список блокировки достаточно отправить один пакет TCP SYN, чем могут воспользоваться злоумышленники. В частности, так как двустороннего подтверждения TCP-соединения не требуется, можно при помощи спуфинга отправить пакет с указанием поддельного IP-адреса и инициировать попадание в список блокировки любого хоста. При симуляции активности с нескольких адресов можно добиться эскалации блокировки до уровней Level 2 и Level 3, которые выполняют блокировку по подсетям и номерам автономных систем.
Список Level 3 изначально был создан для борьбы с провайдерами, поощряющими вредоносную активность клиентов и не реагирующими на жалобы (например, хостинги, специально создаваемые для размещения нелегального контента или обслуживания спамеров). Несколько дней назад UCEPROTECT изменил правила попадания в списки Level 2 и Level 3, что привело к более агрессивной фильтрации и увеличению размера списков. Например, число записей в списке Level 3 выросло с 28 до 843 автономных систем.
Для противостояния UCEPROTECT была высказана идея использования при сканировании спуфинга адресов с указанием IP из диапазона спонсоров UCEPROTECT. В итоге UCEPROTECT
внёс адреса своих спонсоров и многих других невиновных в свои базы, что создало проблемы с доставкой email. В том числе в список блокировки попала CDN-сеть компании Sucuri.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.sucuri.net/2021/0...)
- OpenNews: Черный список dynablock.wirehub.net начал блокировать весь Интернет
- OpenNews: Конфликт с помещением IP-адресов Google в черный список Spamhaus
- OpenNews: Пол Викси предлагает использовать концепцию DNSBL для борьбы с мошенниками
- OpenNews: DNSBL-сервис rfc-ignorant.org прекращает свою работу
- OpenNews: DNSBL-списки AHBL переведены в режим блокирования всех адресов
Похожие новости:
- Представлен Fedora Kinoite, аналог Fedora Silverblue с рабочим столом KDE
- [Работа с 3D-графикой, CAD/CAM, Разработка робототехники] Проектирование Электро-Механической Marble Machine v2.0
- [DIY или Сделай сам, Схемотехника] Самодельный плоттер: советы для начинающих, работа с grbl-прошивкой
- Началось тестирование инструментария Fedora Toolbox
- Проект Silverblue будет развивать атомарно обновляемый вариант Fedora Workstation
- [Софт, Криптовалюты, Браузеры] Как заблокировать майнерские скрипты на веб-сайтах
- [Читальный зал, Научная фантастика] Ванечка
Теги для поиска: #_rbl, #_dnsbl, #_uceprotect
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 20:30
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Винсент Кэнфилд (Vincent Canfield), администратор почтового сервиса и хостинга-реселлера cock.li, обнаружил, что всю его IP-сеть автоматически внесли в список DNSBL UCEPROTECT за сканирование портов с соседних виртуальных машин. Подсеть Винсента попала в список Level 3, в котором блокировка осуществляется по номерам автономных систем и охватывает целые подсети, с которых многократно и для разных адресов срабатывали детекторы рассылки спама. В результате провайдер M247 отключил анонс одной из его сетей в BGP, фактически приостановив обслуживание. Проблема заключается в том, что подставные серверы UCEPROTECT, которые притворяются открытыми релеями и фиксируют попытки отправки почты через себя, автоматически включают адреса в список блокировки на основе любой сетевой активности, без проверки установки сетевого соединения. Аналогичный метод помещения в список блокировки также применяется проектом Spamhaus. Для попадания в список блокировки достаточно отправить один пакет TCP SYN, чем могут воспользоваться злоумышленники. В частности, так как двустороннего подтверждения TCP-соединения не требуется, можно при помощи спуфинга отправить пакет с указанием поддельного IP-адреса и инициировать попадание в список блокировки любого хоста. При симуляции активности с нескольких адресов можно добиться эскалации блокировки до уровней Level 2 и Level 3, которые выполняют блокировку по подсетям и номерам автономных систем. Список Level 3 изначально был создан для борьбы с провайдерами, поощряющими вредоносную активность клиентов и не реагирующими на жалобы (например, хостинги, специально создаваемые для размещения нелегального контента или обслуживания спамеров). Несколько дней назад UCEPROTECT изменил правила попадания в списки Level 2 и Level 3, что привело к более агрессивной фильтрации и увеличению размера списков. Например, число записей в списке Level 3 выросло с 28 до 843 автономных систем. Для противостояния UCEPROTECT была высказана идея использования при сканировании спуфинга адресов с указанием IP из диапазона спонсоров UCEPROTECT. В итоге UCEPROTECT внёс адреса своих спонсоров и многих других невиновных в свои базы, что создало проблемы с доставкой email. В том числе в список блокировки попала CDN-сеть компании Sucuri. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 20:30
Часовой пояс: UTC + 5