Abuse

作為 ISP,我如何處理濫用報告?

  • March 13, 2017

我正在建立一家小型企業,將為利基市場提供網際網路服務。我們將提供完全不受限制和不受監控的(在法律允許的範圍內——雖然我們不希望這樣做,但如果有正當理由,我們仍然能夠擷取數據包)網際網路訪問,我不確定我們應該如何應對濫用報告(Google 搜尋未找到任何相關內容)。

假設我收到一封來自我們客戶的一個 IP 的關於 SSH 暴力破解的電子郵件。我如何判斷它是否是真實的而不是巨魔(日誌條目甚至 .pcaps 都可以偽造)?大型 ISP 是如何做到的(對於那些真正關心濫用報告的人,我的意思是)?

同樣,關於垃圾郵件的投訴,我如何在採取行動之前檢查它們是否真實?這甚至是一個問題嗎?在某些情況下,巨魔會報告某人涉嫌做壞事,希望讓他們與他們的提供者有麻煩?

我是否注定要記錄離開我的網路的每一個數據包,還是有一個不會走極端的行業標準解決方案?

問候。

一般來說,您是中立的運營商,可能不應該檢查內容。處理濫用報告的一般過程是設置一個票證系統,甚至只是一個接收abuse@yourdomain 的郵箱,然後將報告轉發給最終使用者。

我之所以這麼說是因為雖然我在這方面有很多具體的經驗,但在我們這裡是如何做到的,與其他人並不完全一樣。您需要為您提供的服務量身定制方法。話雖如此,我可以給你一些不太具體的建議,並構成大多數地方如何處理虐待的基礎。我不是律師,這不應該被解釋為任何人的意見,而是我自己的意見,以防萬一有人瘋狂到追查我的雇主是誰。

希望其中一些有用。

基本程序:

  1. 您有一個濫用電子郵件地址。
  2. 郵件進入濫用隊列
  3. 告訴虐待記者你會把它傳遞出去。
  4. 查看哪個客戶正在使用該 IP,將報告轉發給他們並詢問他們是否知道發生了什麼。
  5. 如果最終使用者不會以非常愚蠢的方式做出響應,那麼最好使用類似“請不要讓它再次發生”的指令。有一些合法的項目會觸發濫用報告,但大多數都是因為安全研究人員而發生的,如果這不是你的利基,那麼你就不必擔心。
  6. 轉到步驟 1 並重複。

大多數時候,一個循環就足夠了。濫用欺騙並不是我真正見過的事情,我的意思是它發生了,但它真的很明顯,因為他們試圖讓這個人陷入困境,而合法的濫用報告往往是“我們不在乎它為什麼發生了,讓它停止”那種。

你應該做的事情

您可能會看到一些盜版警告,一堆垃圾郵件報告,偶爾還有更深奧的警告……伺服器託管趨向於種類繁多,寬頻盜版更多,每個人都會收到垃圾郵件報告。全部轉發。大多數情況下,客戶會申辯無罪,然後要麼清理他們的電腦,要麼清理他們的行為。如果他們決心堅持下去,他們可能會更好地掩蓋他們的踪跡。

通常濫用報告是針對受損機器的行為而生成的……問題兒童喜歡在別人的前院弄得一團糟,這樣它就不會進入他們的房子並讓他們的父母不高興。假設客戶不是故意發送垃圾郵件。嘗試在客戶第一次收到針對他們的報告時讓他們從懷疑中受益。

如果您有一個非常多產的垃圾郵件發送者,警告可能需要一段時間才能停止,但如果您在警告客戶後繼續看到帶有事件的報告,或者他們收到很多投訴,您可能需要考慮終止他們以進行 AUP違規行為。如果有人偽造報告足以達到這一點,您可能很快就會意識到。

有流量圖表。大多數濫用報告類型(垃圾郵件、版權、ddos)都會點亮流量圖……平均為 40kbit,但突然躍升至 10mbit 並在那裡停留數小時?在有人抱怨或開始影響客戶之前不要做任何事情,但不規則的交通肯定會給你帶來彈藥。

不該做的事…

不要洩露客戶資訊,除非有人遞給您法院命令並且您可以證明該命令是合法的。一些虐待記者會要求提供資訊以希望獲得合作提供者,但如果您將其交給法院以外的任何人,那麼您可能會為自己製造法律問題。警方通常不會通過電子郵件向您詢問客戶的賬單聯繫人,即使他們這樣做了,您仍然應該告訴他們您只能親自提供該資訊並出示適當的法院命令。

不要僅僅因為有人聯繫了您的濫用隊列並要求您這樣做,就將客戶拒之門外。如果他們報告濫用行為,您需要讓他們提供某種可以採取行動的證據……我說濫用報告偽造並不常見,我沒有說它沒有發生。您看到多少完全取決於您的客戶群有多少目標。小老太太可能不會引起巨魔的注意,另一方面可能會抽搐彩帶。

同樣,不要讓虐待記者欺負你……如果你不立即服從他們的命令,有些人的報告會變得非常具有威脅性和攻擊性。如果客戶不合作,您作為渠道的責任是轉發通知並及時採取行動。只有當您知道客戶做錯事並讓他們繼續時,您才會負責。制定一個明智的(閱讀:不支持海盜)政策並堅持下去,如果有任何問題,這將有所幫助。如果您只提供頻寬而不提供託管,則您可能不負責刪除內容,除非您的客戶在您詢問時沒有這樣做。

不要壓力太大。ISP 上 99.9% 的濫用報告都是非常無聊的程序性內容,相當於“我看到這個壞東西來自你的網路,它可能是一台被入侵的機器,請查看它。”

在大多數情況下,將報告的事件時間與流量圖進行比較可以告訴您報告的合法性。惡意程序不會一個或兩個發送電子郵件或埠掃描。

最後一件事。

如果您確實遇到涉及警察的虐待案件,請務必明確詢問他們希望您為他們做什麼,但不要指望他們有超級技術性的答案。有時警察對所涉及的技術並不完全熟悉(有人告訴我,有一次他們想拜訪我們以實際獲取 VPS,這很有趣),但他們確實知道他們想要完成什麼。他們究竟要追求什麼樣的事情完全取決於您提供的服務類型。

引用自:https://serverfault.com/questions/837854

相關問答

Iptables

如何阻止所有到 PlayStation 網路的流量?

  • February 25, 2021
檢視問答
Email

如何根據 IP 地址自動獲取濫用電子郵件地址

  • March 6, 2019
檢視問答
Nginx

我的 Python 網路伺服器正被惡意 PHP 請求轟炸。我應該做點什麼嗎?

  • September 24, 2018
檢視問答
Security

我應該報告黑客攻擊嗎?

  • February 22, 2017
檢視問答
Spam

有關域濫用通知的垃圾郵件

  • January 20, 2017
檢視問答
Domain-Name-System

如何防止公開遞歸 DNS 伺服器被濫用進行 DNS 放大

  • January 3, 2017
檢視問答