主页 / server / 问题 / 837854
Accepted
André Borie
Asked: 2017-03-13 14:56:54 +0800 CST

作为 ISP,我如何处理滥用报告?

  • 772

我正在建立一家小型企业,将为利基市场提供互联网服务。我们将提供完全不受限制和不受监控的(在法律允许的范围内 - 虽然我们不希望这样做,但如果有正当理由,我们仍然能够捕获数据包)互联网访问,我不确定我们应该如何应对滥用报告(Google 搜索未找到任何相关内容)。

假设我收到一封来自我们客户的一个 IP 的关于 SSH 暴力破解的电子邮件。我如何判断它是否是真实的而不是巨魔(日志条目甚至 .pcaps 都可以伪造)?大型 ISP 是如何做到的(对于那些真正关心滥用报告的人,我的意思是)?

同样,关于垃圾邮件的投诉,我如何在采取行动之前检查它们是否真实?这甚至是一个问题吗?在某些情况下,巨魔会报告某人涉嫌做坏事,希望让他们与他们的提供者有麻烦?

我是否注定要记录离开我的网络的每一个数据包,还是有一个不会走极端的行业标准解决方案?

问候。

abuse

2 个回答

  1. Best Answer

    一般来说,您是中立的运营商,可能不应该检查内容。处理滥用报告的一般过程是设置一个票证系统,甚至只是一个接收abuse@yourdomain 的邮箱,然后将报告转发给最终用户。

    我之所以这么说是因为虽然我在这方面有很多具体的经验,但在我们这里是如何做到的,与其他人并不完全一样。您需要为您提供的服务量身定制方法。话虽如此,我可以给你一些不太具体的建议,并构成大多数地方如何处理虐待的基础。我不是律师,这不应该被解释为任何人的意见,而是我自己的意见,以防万一有人疯狂到追查我的雇主是谁。

    希望其中一些有用。

    基本程序:

    1. 您有一个滥用电子邮件地址。
    2. 邮件进入滥用队列
    3. 告诉虐待记者你会把它传递出去。
    4. 查看哪个客户正在使用该 IP,将报告转发给他们并询问他们是否知道发生了什么。
    5. 如果最终用户不会以非常愚蠢的方式做出响应,那么最好使用类似“请不要让它再次发生”的指令。有一些合法的项目会触发滥用报告,但大多数都是因为安全研究人员而发生的,如果这不是你的利基,那么你就不必担心。
    6. 转到步骤 1 并重复。

    大多数时候,一个循环就足够了。滥用欺骗并不是我真正见过的事情,我的意思是它发生了,但它真的很明显,因为他们试图让这个人陷入困境,而合法的滥用报告往往是“我们不在乎它为什么发生了,让它停止”那种。

    你应该做的事情

    您可能会看到一些盗版警告,一堆垃圾邮件报告,偶尔还有更深奥的警告......服务器托管趋向于种类繁多,宽带盗版更多,每个人都会收到垃圾邮件报告。全部转发。大多数情况下,客户会申辩无罪,然后要么清理他们的电脑,要么清理他们的行为。如果他们决心坚持下去,他们可能会更好地掩盖他们的踪迹。

    通常滥用报告是针对受损机器的行为而生成的……问题儿童喜欢在别人的前院弄得一团糟,这样它就不会进入他们的房子并让他们的父母不高兴。假设客户不是故意发送垃圾邮件。尝试在客户第一次收到针对他们的报告时让他们从怀疑中受益。

    如果您有一个非常多产的垃圾邮件发送者,警告可能需要一段时间才能停止,但如果您在警告客户后继续看到带有事件的报告,或者他们收到很多投诉,您可能需要考虑终止他们以进行 AUP违规行为。如果有人伪造报告足以达到这一点,您可能很快就会意识到。

    有流量图表。大多数滥用报告类型(垃圾邮件、版权、ddos)都会点亮流量图……平均为 40kbit,但突然跃升至 10mbit 并在那里停留数小时?在有人抱怨或开始影响客户之前不要做任何事情,但不规则的交通肯定会给你带来弹药。

    不该做的事...

    不要泄露客户信息,除非有人递给您法院命令并且您可以证明该命令是合法的。一些虐待记者会要求提供信息以希望获得合作提供者,但如果您将其交给法院以外的任何人,那么您可能会为自己制造法律问题。警方通常不会通过电子邮件向您询问客户的账单联系人,即使他们这样做了,您仍然应该告诉他们您只能亲自提供该信息并出示适当的法院命令。

    不要仅仅因为有人联系了您的滥用队列并要求您这样做,就将客户拒之门外。如果他们报告滥用行为,您需要让他们提供一些您可以采取行动的证据……我说滥用报告伪造并不常见,我没有说它没有发生。您看到多少完全取决于您的客户群有多少目标。小老太太可能不会引起巨魔的注意,另一方面可能会抽搐彩带。

    同样,不要让虐待记者欺负你……如果你不立即服从他们的命令,有些人的报告会变得非常具有威胁性和攻击性。如果客户不合作,您作为渠道的责任是转发通知并及时采取行动。只有当您知道客户做错事并让他们继续时,您才会负责。制定一个明智的(阅读:不支持海盗)政策并坚持下去,如果有什么事情发生了,那会有所帮助。如果您只提供带宽而不提供托管,则您可能不负责删除内容,除非您的客户在您询问时没有这样做。

    不要压力太大。ISP 的 99.9% 的滥用报告都是非常无聊的程序性内容,相当于“我看到这个坏东西来自您的网络,它可能是一台被入侵的机器,请查看它。”

    在大多数情况下,将报告的事件时间与流量图进行比较可以告诉您报告的合法性。恶意进程不会一个或两个发送电子邮件或端口扫描。

    最后一件事。

    如果您确实遇到涉及警察的虐待案件,请务必明确询问他们希望您为他们做什么,但不要指望他们有超级技术性的答案。有时警察对所涉及的技术并不完全熟悉(有人告诉我,有一次他们想拜访我们以物理获取 VPS,这很有趣),但他们确实知道他们想要完成什么。他们究竟要追求什么样的事情完全取决于您提供的服务类型。

    • 22

  2. 如果您要部署为不受监控的 ISP,您可能无法确认恶意流量正在通过您的网络传输。否则,您很可能需要设置某种形式的基本流量监控,至少是 TCPDump 系统。

    您可能还想建立某种票务系统并将严重的投诉转嫁给您的客户。要求在一定时间内做出响应,因不回复或不纠正问题而导致服务被禁止等。

    您无法始终确定报告的真假,但根据我的经验,您将很快学会评估其有效性。设置提交滥用投诉的要求——例如,要求流量或访问日志清楚地显示您的网络参与。

    垃圾邮件投诉通常包括电子邮件标题和来源,因此您可以根据具体情况决定如何处理它们。SpamCop 应该有一些好的

    熟悉 DMCA 或同等的英国版权法。

    您可能必须为自己树立一些先例,并帮助为如何使用您的服务定下基调。

    祝你好运

    • 4

相关问题