Как обрабатывать отчеты о злоупотреблениях в качестве интернет-провайдера?

Я создаю небольшой бизнес, который будет предоставлять интернет-услуги для нишевого рынка. Мы будем предлагать полностью неограниченный и неконтролируемый (насколько позволяет закон - и хотя мы бы предпочли, у нас все еще будет возможность перехватывать пакеты, если это оправдано), доступ в Интернет, и я не уверен, как мы должны реагировать на злоупотребления отчеты (поиск Google не нашел ничего релевантного).

Допустим, я получил электронное письмо о брутфорсе SSH, пришедшем с одного из IP-адресов наших клиентов. Как мне узнать, настоящий ли это, а не тролль (записи в журнале и даже .pcaps могут быть подделаны)? Как это делают крупные интернет-провайдеры (я имею в виду тех, кого действительно волнуют сообщения о злоупотреблениях)?

Точно так же жалобы на спам по электронной почте, как я могу проверить, являются ли они подлинными, прежде чем действовать на них? Это вообще проблема? Были ли случаи, когда тролли сообщали о том, что кто-то совершал плохие поступки в надежде на неприятности со своим поставщиком?

Обречен ли я регистрировать каждый отдельный пакет, покидающий мою сеть, или существует отраслевое стандартное решение, которое не доходит до таких крайностей?

С уважением.

Вообще говоря, вы действуете как нейтральный носитель и, вероятно, не должны проверять контент. Общий процесс обработки отчетов о нарушении заключается в настройке системы тикетов или даже почтового ящика, который забирает злоупотребление @ yourdomain, а затем пересылает отчеты конечному пользователю.

Я говорю в целом, потому что, хотя у меня есть много конкретного опыта в этой области, то, как это делается у нас, будет не совсем так, как это делают другие. Вы должны адаптировать подход к услугам, которые вы предлагаете. При этом я могу дать вам несколько советов, которые не слишком конкретны и составляют основу того, как большинство мест справляются со злоупотреблениями. Хотя я не юрист, и это не должно восприниматься как чье-то мнение, а мое собственное, на случай, если кто-то достаточно сумасшедший, чтобы выяснить, кто мой работодатель.

Надеюсь, что-то из этого полезно.

Основная процедура:

1. У вас есть адрес электронной почты злоупотребления.
2. Почта приходит в очередь злоупотреблений
3. Скажите репортеру о нарушении, что вы передадите его
4. Посмотрите, какой клиент использует этот IP, отправьте ему отчет и спросите, знают ли они, что происходит.
5. Если конечный пользователь не отвечает чем-то действительно глупым, то инструкция типа «Пожалуйста, не позволяйте этому повториться» - к лучшему. Существуют законные проекты, которые отключают отчеты о злоупотреблениях, но в основном это происходит из-за исследователей безопасности, если это не ваша ниша, вам не о чем беспокоиться.
6. Перейдите к шагу 1 и повторите.

В большинстве случаев достаточно одного прохода. Поддельное злоупотребление - это не то, что я действительно видел, я имею в виду, что это происходит, но это было действительно очевидно, так как они пытаются доставить человеку неприятности, в то время как законные сообщения о злоупотреблениях имеют тенденцию быть «Нам все равно, почему это происходит, просто сделай это "добро.

Что нужно делать

Вы, вероятно, увидите несколько предупреждений о пиратстве, кучу сообщений о спаме, иногда более эзотерические предупреждения ... Серверный хостинг имеет тенденцию к большему разнообразию, широкополосная связь - это больше пиратства, все получают отчеты о спаме. Направьте их всех. Большую часть времени клиент собирается заявить о своей невиновности, а затем либо очистить свой компьютер, либо привести в порядок свои действия. Если они полны решимости придерживаться этого, они, вероятно, будут лучше скрывать свои следы.

Обычно сообщения о злоупотреблениях генерируются в ответ на действия скомпрометированных машин ... проблема, которую дети любят устраивать в чужом переднем дворе, чтобы они не следили за их домом и не расстраивали их родителей. Предположим, что клиент не намеренно рассылает спам. Постарайтесь дать клиентам преимущество сомнения в первый раз, когда они получают отчет против них.

Предупреждения могут занять некоторое время, если у вас действительно много спамера, но если вы продолжаете видеть отчеты с событиями после того, как клиент получил предупреждение, или у него много жалоб, вы можете рассмотреть возможность его прекращения для AUP. нарушения. Вы, вероятно, поймете довольно быстро, если кто-то подделает отчеты достаточно, чтобы достичь этой точки.

Иметь график объема трафика. Большинство типов отчетов о злоупотреблениях (спам, авторские права, ddos) будут подсвечивать график трафика ... в среднем 40 Кбит, но внезапно перепрыгнул до 10 Мбит и оставался там часами? Не делайте ничего, пока кто-то не пожалуется или не начнет влиять на клиентов, но нерегулярный трафик наверняка даст вам боеприпасы.

Вещи не делать ...

Не разглашайте информацию о клиентах, если кто-то не передаст вам судебный приказ, и вы не сможете доказать, что этот заказ является законным Некоторые журналисты по вопросам злоупотреблений будут запрашивать информацию в надежде получить кооперативного поставщика, но если вы передадите ее кому-либо, кроме суда, то вы, вероятно, создаете для себя правовые вопросы. Как правило, полиция не собирается отправлять вам электронные письма с просьбой предоставить контактный адрес вашего клиента, и даже если они это сделали, вы все равно должны сказать им, что вы можете предоставить эту информацию только лично и при предъявлении соответствующего постановления суда.

Не выключайте клиента только потому, что кто-то связался с вашей очередью злоупотреблений и попросил вас. Если они сообщают о злоупотреблениях, вы должны заставить их предоставить какое-то доказательство, на которое вы можете действовать ... Я сказал, что подделка отчета о злоупотреблении не распространена, я не сказал, что этого не произошло. То, насколько вы видите, полностью зависит от того, насколько целевой является ваша клиентская база. Маленькие старушки, вероятно, не собираются атаковать внимание троллей, с другой стороны, могут дергаться растяжки.

Точно так же, не позволяйте репортерам издевательств над вами запугивать ... некоторые люди могут стать по-настоящему угрожающими и агрессивными в своем отчете, если вы немедленно не подчинитесь их приказам. В качестве посредника вы должны направлять уведомления и своевременно принимать меры, если клиент не сотрудничает. Вы становитесь ответственными, только если знаете, что клиент делает что-то плохое, и позволяете ему продолжать. Имейте разумную (читай: не одобряющую пиратов) политику и придерживайтесь ее, это поможет, если что-то пойдет не так. Если вы предоставляете только пропускную способность, а не хостинг, вы, вероятно, не несете ответственности за удаление контента, если только ваш клиент не сделает этого, когда вы об этом попросите.

Не напрягайся слишком сильно. 99,9% сообщений о злоупотреблениях на интернет-провайдере - это действительно скучная процедурная штука, которая сводится к тому, что «я видел, как эта плохая вещь пришла из вашей сети, вероятно, это взломанная машина, пожалуйста, поищите ее».

В большинстве случаев сравнение времени сообщения о событии с графиком трафика покажет вам достоверность отчета. Враждебные процессы не рассылают электронные письма или сканирование портов по одному или двум.

Последняя вещь.

Если вы когда-либо сталкивались с делом о жестоком обращении с полицией, обязательно поинтересуйтесь, что они хотят, чтобы вы для них сделали, но не ожидайте, что у них будут супер технические ответы. Иногда полиция не совсем знакома с технологией (мне сказали, что однажды они хотели посетить нас, чтобы физически захватить VPS, это было весело), ​​но у них есть представление о том, чего они хотят достичь. Что именно они будут делать, полностью зависит от того, какие именно услуги вы предоставляете.

Если вы собираетесь развертываться в качестве неконтролируемого интернет-провайдера, вы, вероятно, не сможете подтвердить, что вредоносный трафик проходит через вашу сеть. В противном случае вам, скорее всего, потребуется настроить какую-либо форму базового мониторинга трафика, по крайней мере, систему TCPDump.

Вы также можете настроить какую-либо систему продажи билетов и передавать серьезные жалобы своим клиентам. Требовать ответов в течение определенного периода времени, с запретами на обслуживание в результате отсутствия ответа или устранения проблемы и т. Д.

Вы не всегда можете определить, является ли отчет истинным или ложным, но по моему опыту вы быстро научитесь оценивать достоверность. Установите требования для подачи жалоб на злоупотребления - например, требуйте журналы трафика или доступа, четко показывающие участие вашей сети.

Жалобы на спам, как правило, включают в себя заголовки писем и источник, поэтому вы можете индивидуально решать, как с ними обращаться. У SpamCop должно быть немного хорошего

Ознакомьтесь с DMCA или эквивалентными законами об авторском праве Великобритании.

Скорее всего, вам придется установить некоторые прецеденты для себя и помочь установить тон того, как ваша служба может быть использована.

Удачи