Як обробляти повідомлення про зловживання як Інтернет-провайдера?

12

Я створюю невеликий бізнес, який надаватиме Інтернет-сервіс для нішевого ринку. Ми пропонуємо повністю необмежений та непідконтрольний (наскільки це дозволяє закон - і, хоча ми не хотіли б, ми все ще матимемо можливість захоплювати пакети, якщо це виправдано) доступ до Інтернету, і я не впевнений, як нам реагувати на зловживання звіти (пошук Google не знайшов нічого релевантного).

Скажімо, я отримую електронну пошту про грубу силу SSH, що надходить з одного з IP-адрес наших клієнтів. Як дізнатись, чи справжній це, а не тролль (записи в журналі та навіть .pcaps можуть бути підробленими)? Як це роблять великі інтернет-провайдери (для тих, хто насправді переймається повідомленнями про зловживання)?

Аналогічно, скарги на електронну пошту зі спамом, як я можу перевірити, чи справді вони справжні, перш ніж діяти на них? Це навіть проблема? Чи були випадки, коли тролі повідомляли б когось про те, що вони нібито робили погані речі, сподіваючись натрапити на них з провайдером?

Чи засуджено я реєструвати кожен пакет, який залишає мою мережу, або є стандартне рішення, яке не доходить до таких крайнощів?

З повагою

abuse 
Андре Борі
джерело
Навіщо взагалі поводитися з повідомленнями про зловживання?
Майкл Хемптон
6
Що ви маєте на увазі? Якщо хтось легітимно скаржиться на те, що один із наших клієнтів розмовляє зі спамом / DoS / bruteforce, я хочу щось з цим зробити, так само, як я не вдячний бути в кінці цих атак (і я сумніваюся, що це хтось).
Андре Борі
2
Це гарна відповідь. Отже, що у ваших умовах обслуговування?
Майкл Хемптон
1
Умови надання послуг дозволяють нам припинити чиєсь зв’язок з будь-якої причини, а прийнятна політика використання забороняє DoS, спам, грубу силу, в основному все, що ми вважаємо шкідливим. Моє головне питання: після скарги, як я повинен судити, чи справжня вона, чи троль / помилка? Реєстрація кожного пакету робила б це, але це технічно неможливо, навіть якщо ми хотіли це зробити, тому я запитую, як це роблять великі гравці.
Андре Борі
3
@MichaelHampton Машина, що спричиняє напади грубої сили SSH, ймовірно, порушена. Якщо у вас є підстави вважати, що хтось із ваших клієнтів є компрометованим, і ви навіть не говорите їм, ви жахливі на своїй роботі.
Девід Шварц

Відповіді:

20

Взагалі кажучи, ви виступаєте як нейтральний носій і, ймовірно, не повинні перевіряти вміст. Загальний процес поводження з повідомленнями про зловживання - це налаштування системи квитків або навіть просто поштової скриньки, яка збирається для зловживання @ yourdomain, а потім пересилає звіти кінцевому користувачеві.

Я кажу загалом, тому що, хоча у мене є багато конкретного досвіду в цій галузі, те, як це робиться у нас, не буде саме таким, як це робить хтось інший. Вам потрібно налаштувати підхід до послуг, які ви пропонуєте. Зважаючи на це, я можу дати вам поради, які не надто конкретні і є основою того, як більшість місць поводиться із зловживаннями. Я не юрист, і це не слід трактувати як думку кого-небудь, а мою власну, на випадок, якщо хтось досить божевільний, щоб з'ясувати, хто мій роботодавець.

Сподіваємось, все це корисно.

Основна процедура:

  1. Ви маєте електронну адресу зловживання.
  2. Пошта надходить, щоб зловживати чергою
  3. Скажіть журналісту зловживання, що ви передасте його.
  4. Подивіться, який клієнт використовує цей IP, надішліть їм звіт і запитайте, чи знає він, що відбувається.
  5. За умови, що кінцевий користувач не реагує на щось по-справжньому нерозумно, інструкція відповідно до пункту "Будь ласка, не дозволяйте повторити це" - найкраще. Є законні проекти, які подають повідомлення про зловживання, але в основному вони трапляються через дослідників безпеки, якщо це не ваша ніша, то вам не потрібно буде турбуватися.
  6. Перейдіть до кроку 1 і повторіть.

У більшості разів достатньо однієї петлі. Зловживання підробками - це не те, чого я насправді багато бачив, я маю на увазі, це трапляється, але це було дійсно очевидно, оскільки вони намагаються завести людину в біді, в той час як повідомлення про зловживання законами, як правило, є "Нам все одно, чому це відбувається, просто змусити його зупинитися "добрий.

Що ти повинен робити

Напевно, ви побачите кілька попереджень про піратство, купу сповіщень про спам, епізодичне попередження про епізодичні випадки ... Тенденції розміщення сервера до більшої різноманітності, широкосмугові - це більше піратства, кожен отримує повідомлення про спам. Переслати їх усіх. Більшу частину часу замовник збирається визнати невинність, потім або прибирає свій ПК, або прибирає вчинок. Якщо вони вирішили триматись, вони, мабуть, краще висвітлюють свої сліди.

Зазвичай звіти про зловживання генеруються у відповідь на дії компрометованих машин ... проблемні діти люблять заплутатися на чужому передньому подвір’ї, щоб він не прослідковував їхній будинок і робив батьків незадоволеними. Припустимо, що клієнт навмисно не надсилає спам. Спробуйте дати клієнтам користь від сумнівів, коли вони вперше отримують звіт проти них.

Якщо у вас дійсно плодоносний спамер, попередження можуть затриматись деякий час, але якщо ви продовжуєте бачити звіти про події після попередження клієнта або у них багато скарг, ви можете розглянути питання про припинення їх дії на AUP порушення. Ви, мабуть, зрозумієте досить швидко, якщо хтось підробляє звіти, щоб досягти цієї точки.

Майте графік обсягу трафіку. Більшість типів звітів про зловживання (спам, авторські права, документи) засвітить графік трафіку ... в середньому становив 40 кбіт, але раптом підскочив до 10 Мбіт і залишився там години? Не робіть нічого, поки хтось не скаржиться або він не почне впливати на клієнтів, але нерегулярний рух неодмінно дасть вам патрони.

Що робити не треба ...

Не видайте інформацію про клієнтів, якщо хтось не передасть вам ухвалу суду, і ви зможете довести, що наказ є законним. Деякі журналісти зловживань запитають інформацію в надії на отримання кооперативного постачальника, але якщо ви передасте її комусь, крім суду, ви, мабуть, створюєте для себе юридичні проблеми. Як правило, поліція не надсилає вам електронну пошту з проханням про контактний контакт свого клієнта, і навіть якщо вони це зробили, ви все одно повинні повідомити їм, що ви можете надати цю інформацію лише особисто та пред'явивши відповідний судовий наказ.

Не вимикайте клієнта лише тому, що хтось зв’язався з вашою чергою зловживань і попросив вас. Якщо вони повідомляють про зловживання, вам потрібно їх отримати, щоб надати якісь докази, на які ви можете діяти ... Я сказав, що підробка звітів про зловживання не є звичайною, я не сказав, що цього не сталося. Скільки ви бачите, це повністю залежить від того, наскільки цільовою є ваша клієнтська база. Маленькі старенькі, мабуть, не збираються атакувати увагу тролів, а з іншого боку можуть посмикувати стримери.

Так само не дозволяйте зловживачам зловживати вас знущаннями ... деякі люди можуть стати по-справжньому загрозливими та агресивними зі своїм звітом, якщо ви не вмить виконуєте їхні доручення. Ви несете відповідальність за передачу повідомлень та вчасні дії, якщо замовник не співпрацює. Ви несете відповідальність лише тоді, коли знаєте, що клієнт чинить щось погане, і нехай вони продовжують свою діяльність. Проведіть обґрунтовану (читайте: не перевагу піратів) політику та дотримуйтесь її, що допоможе, якщо що-небудь піде нахабно. Якщо ви надаєте лише пропускну здатність, а не хостинг, ви, ймовірно, не несете відповідальності за знімання вмісту, якщо ваш клієнт цього не зробить, коли ви запитаєте їх.

Не напружуйте занадто сильно. 99,9% повідомлень про зловживання в Інтернет-провайдері - це справді нудні процедурні речі, які означають, що "я бачив, що ця погана річ надходить з вашої мережі. Це, мабуть, скомпрометована машина, будь ласка, зверніть увагу на це".

У більшості випадків порівняння повідомленого часу події з графіком трафіку покаже вам законність звіту. Ворожі процеси не надсилають електронну пошту чи сканування портів через один або два.

Одне останнє.

Якщо у вас все-таки трапляється справа про зловживання, в якій бере участь міліція, обов'язково запитайте прямо, що вони хочуть, щоб ви зробили для них, але не сподівайтеся, що вони отримають супер технічні відповіді. Іноді поліція не зовсім знайома із залученими технологіями (мені казали, що одного разу вони хотіли відвідати нас, щоб фізично заволодіти VPS, що було цікаво), але вони мають уявлення про те, що хочуть досягти. Саме те, що вони будуть робити, повністю залежить від того, який саме тип послуг ви надаєте.

Кайтар
джерело
4

Якщо ви збираєтесь розгортатись як незабезпечений Інтернет-провайдер, ви, ймовірно, не зможете підтвердити, що зловмисний трафік проходить через вашу мережу. В іншому випадку вам, швидше за все, потрібно буде налаштувати якусь форму базового моніторингу трафіку, принаймні, систему TCPDump.

Ви також можете налаштувати якусь систему квитків та передати суворі скарги своїм клієнтам. Вимагайте відповідей протягом певного часу, із заборонами на обслуговування внаслідок невідповіді та усунення проблеми тощо.

Ви не завжди можете визначити, чи є звіт правдивим чи неправдивим, але, на моєму досвіді, ви швидко навчитеся оцінювати обгрунтованість. Встановіть вимоги до подання скарг на зловживання - наприклад, вимагайте журналів трафіку чи доступу, що чітко показують участь вашої мережі.

Скарги на спам, як правило, містять заголовки та джерело електронної пошти, тож ви можете приймати окремі випадки, залежно від конкретних випадків, як вирішити їх. SpamCop повинен мати користь

Ознайомтесь із законом про захист авторських прав у цифрову епоху або відповідними законами Великобританії про авторське право

Ймовірно, вам доведеться встановити деякі прецеденти для себе і допомогти встановити тон, яким чином можна використовувати вашу послугу.

Щасти

iisor
джерело
Система квитків вже створена, і tcpdump, безумовно, можливий у кожному конкретному випадку, мені було просто цікаво, чи існують інші рішення, але схоже, що це все. Дякую за вашу відповідь.
Андре Борі
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.