我正在建立一家小型企业,为利基市场提供互联网服务。我们将提供完全不受限制和不受监控的(在法律允许的范围内 - 虽然我们宁愿不这样做,但如果有正当理由,我们仍然可以捕获数据包)互联网访问,我不确定我们应该如何应对滥用报告(Google 搜索未找到任何相关内容)。
假设我收到一封来自我们客户 IP 的关于 SSH 暴力破解的电子邮件。我如何判断它是否是真实的而不是巨魔(日志条目甚至 .pcaps 都可以伪造)?大型 ISP 如何做到这一点(对于那些真正关心滥用报告的人)?
同样,关于垃圾邮件的投诉,我如何在对它们采取行动之前检查它们是否真实?这甚至是一个问题吗?是否有过巨魔会报告某人涉嫌做坏事,希望让他们与他们的提供者陷入困境的情况?
我是否注定要记录离开我的网络的每个数据包,或者是否有一个不会走极端的行业标准解决方案?
问候。
Kai*_*har 22
一般来说,您是中立的载体,可能不应该检查内容。处理滥用报告的一般过程是设置一个票务系统,甚至只是一个邮箱,该邮箱接收abuse@yourdomain,然后将报告转发给最终用户。
我之所以这么说,是因为虽然我在这方面有很多具体的经验,但在我们这里的做法并不完全符合其他人的做法。您需要根据您提供的服务定制方法。话虽如此,我可以给你一些不太具体的建议,它们构成了大多数地方如何处理滥用行为的基础。不过,我不是律师,这不应被解释为任何人的意见,而是我自己的意见,以防万一有人疯狂到追查我的雇主是谁。
希望其中一些是有帮助的。
基本程序:
大多数情况下,一个循环就足够了。滥用欺骗并不是我真正见过的东西,我的意思是它发生了,但它真的很明显,因为他们试图让这个人陷入困境,而合法的滥用报告往往是“我们不在乎为什么它是正在发生,就让它停止”那种。
你应该做的事情
您可能会看到一些盗版警告、一堆垃圾邮件报告、偶尔更深奥的警告……服务器托管趋向于多样化,宽带盗版更多,每个人都会收到垃圾邮件报告。转发所有这些。大多数情况下,客户会辩称自己无罪,然后要么清理他们的 PC,要么清理他们的行为。如果他们决心坚持下去,他们可能会更好地掩盖他们的踪迹。
通常,虐待报告是针对受感染机器的行为而生成的……问题儿童喜欢在别人的前院弄得一团糟,以免它跟踪到他们的房子里并让他们的父母不高兴。假设客户不是故意发送垃圾邮件。尝试在客户第一次收到针对他们的报告时,让他们从怀疑中获益。
如果您有一个非常多产的垃圾邮件发送者,警告可能需要一段时间才能停止,但是如果您在客户收到警告后继续看到有关事件的报告,或者他们收到很多投诉,您可能需要考虑终止他们的 AUP违规。如果有人伪造报告足以达到这一点,您可能很快就会意识到。
有交通量图表。大多数滥用报告类型(垃圾邮件、版权、ddos)都会点亮流量图...平均为 40kbit,但突然跃升至 10mbit 并在那里停留了几个小时?在有人抱怨或开始影响客户之前不要做任何事情,但不规则的交通肯定会给你带来弹药。
不该做的事...
不要泄露客户信息,除非有人向您递交了法院命令并且您可以证明该命令是合法的。一些虐待举报者会要求提供信息,以期获得合作提供者,但如果您将其交给法院以外的任何人,那么您可能会为自己制造法律问题。警方通常不会通过电子邮件向您询问客户的账单联系人,即使他们这样做了,您仍然应该告诉他们,您只能亲自提供该信息并出示适当的法院命令。
不要仅仅因为有人联系您的滥用队列并要求您关闭客户。如果他们报告滥用行为,您需要让他们提供某种证据,您可以根据这些证据采取行动……我说滥用报告伪造并不常见,我没有说它没有发生。你看到多少完全取决于你的客户群有多少目标。小老太太可能不会攻击巨魔的注意力,另一方面可能会抽搐。
同样,不要让虐待记者欺负你……如果你不立即服从他们的命令,有些人的报告可能会变得非常具有威胁性和侵略性。如果客户不合作,您作为渠道的责任是转发通知并及时采取行动。只有当您知道客户在做坏事并让他们继续时,您才会承担责任。有一个明智的(阅读:不偏袒海盗)政策并坚持下去,如果有任何事情发生,那会有所帮助。如果您只提供带宽而不提供托管,您可能不负责删除内容,除非您的客户在您询问时没有这样做。
不要压力太大。ISP 上 99.9% 的滥用报告都是非常无聊的程序性内容,相当于“我看到这个坏事来自您的网络,它可能是一台受感染的机器,请查看它。”
在大多数情况下,将报告的事件时间与流量图进行比较将告诉您报告的合法性。恶意进程不会一次或两次发送电子邮件或端口扫描。
最后一件事。
如果您确实遇到过涉及警察的虐待案件,请务必明确询问他们希望您为他们做什么,但不要指望他们有超级技术性的答案。有时警察并不完全熟悉所涉及的技术(有人告诉我,有一次他们想拜访我们以实际抓住 VPS,这很有趣)但他们确实知道他们想要完成什么。他们究竟要追求什么样的东西,完全取决于您提供的服务类型。