ฉันจะจัดการรายงานการละเมิดในฐานะ ISP ได้อย่างไร

12

ฉันกำลังจัดตั้งธุรกิจขนาดเล็กที่จะให้บริการอินเทอร์เน็ตสำหรับตลาดเฉพาะ เราจะให้บริการไม่ จำกัด และไม่ได้รับการตรวจสอบอย่างเต็มที่ (เท่าที่กฎหมายอนุญาต - และในขณะที่เราไม่ต้องการเราจะยังคงมีความสามารถในการจับแพ็คเก็ตหากมีการพิสูจน์) อินเทอร์เน็ตและฉันไม่แน่ใจว่า รายงาน (การค้นหาโดย Google ไม่พบสิ่งใดที่เกี่ยวข้อง)

สมมติว่าฉันได้รับอีเมลเกี่ยวกับ SSH bruteforce มาจากหนึ่งใน IP ของลูกค้าของเรา ฉันจะบอกได้อย่างไรว่าเป็นของแท้และไม่ใช่โทรลล์ (รายการบันทึกและแม้กระทั่ง. pcps สามารถปลอมได้) ISP รายใหญ่ทำอย่างไร (สำหรับผู้ที่สนใจรายงานการละเมิดที่ฉันหมายถึง) จริง ๆ ?

ในทำนองเดียวกันการร้องเรียนเกี่ยวกับอีเมลขยะฉันจะตรวจสอบว่าพวกเขาเป็นของแท้ก่อนที่จะดำเนินการตามพวกเขาได้อย่างไร นี่เป็นปัญหาหรือไม่? มีกรณีที่โทรลล์แจ้งคนที่กล่าวหาว่าทำสิ่งไม่ดีโดยหวังว่าจะทำให้พวกเขาเดือดร้อนกับผู้ให้บริการหรือไม่?

ฉันถูกลงโทษให้บันทึกทุก ๆ แพ็คเก็ตเดียวที่ออกจากเครือข่ายของฉันหรือมีวิธีแก้ปัญหามาตรฐานอุตสาหกรรมที่ไม่ได้ไปสู่สุดขั้วดังกล่าวหรือไม่?

ความนับถือ.

abuse 
André Borie
แหล่งที่มา
ทำไมคุณต้องจัดการกับรายงานการละเมิดทั้งหมด
Michael Hampton
6
คุณหมายถึงอะไร หากมีใครบางคนบ่นเกี่ยวกับลูกค้าของเราว่ามีสแปม / DoS / bruteforce หรือไม่ฉันต้องการทำบางสิ่งบางอย่างเกี่ยวกับเรื่องนี้เช่นเดียวกับที่ฉันไม่เห็นด้วยที่ตอนท้ายของการโจมตีเหล่านั้น (และฉันสงสัยว่าใคร)
André Borie
2
นั่นเป็นคำตอบที่ดี ดังนั้นข้อกำหนดในการให้บริการของคุณคืออะไร
Michael Hampton
1
ข้อกำหนดในการให้บริการช่วยให้เราสามารถยุติการเชื่อมต่อของใครบางคนด้วยเหตุผลใดก็ตามและนโยบายการใช้งานที่ยอมรับได้จะห้ามมิให้ DoS, สแปม, bruteforce โดยทั่วไปสิ่งใดก็ตามที่เราคิดว่าเป็นอันตราย คำถามหลักของฉันคือการติดตามการร้องเรียนฉันจะตัดสินได้อย่างไรว่าเป็นของแท้หรือหมุนรอบ / ผิด การบันทึกทุก ๆ แพ็กเก็ตจะทำได้ แต่มันเป็นไปไม่ได้ในทางเทคนิคแม้ว่าเราจะต้องการทำมันฉันก็เลยถามว่าผู้เล่นตัวใหญ่ทำยังไง
André Borie
3
@MichaelHampton เครื่องจักรที่โจมตี SSH bruteforce นั้นอาจถูกโจมตี หากคุณมีเหตุผลที่จะเชื่อว่าลูกค้าคนใดคนหนึ่งของคุณถูกประนีประนอมและคุณไม่ได้บอกพวกเขานั่นแสดงว่าคุณมีงานที่แย่มาก
David Schwartz

คำตอบ:

20

โดยทั่วไปคุณจะทำหน้าที่เป็นผู้ให้บริการที่เป็นกลางและอาจไม่ควรตรวจสอบเนื้อหา กระบวนการทั่วไปในการจัดการรายงานความไม่เหมาะสมคือการตั้งค่าระบบตั๋วหรือแม้แต่กล่องจดหมายที่หยิบขึ้นมาสำหรับการละเมิด @ yourdomain แล้วส่งต่อรายงานไปยังผู้ใช้ปลายทาง

ฉันพูดโดยทั่วไปเพราะในขณะที่ฉันมีประสบการณ์มากมายในพื้นที่นี้การทำในสถานที่ของเราจะไม่เหมือนกับที่คนอื่นทำ คุณต้องปรับวิธีการให้บริการที่คุณเสนอ ที่ถูกกล่าวว่าฉันสามารถให้คำแนะนำที่ไม่เฉพาะเจาะจงมากเกินไปและเป็นพื้นฐานของวิธีการที่สถานที่ส่วนใหญ่จัดการกับการละเมิด ฉันไม่ใช่นักกฎหมายและไม่ควรตีความว่าเป็นความคิดเห็นของใคร แต่เป็นของฉันเองในกรณีที่มีคนบ้าพอที่จะติดตามว่านายจ้างของฉันเป็นใคร

หวังว่าบางอย่างนี้จะเป็นประโยชน์แม้ว่า

ขั้นตอนพื้นฐาน:

  1. คุณมีที่อยู่อีเมลที่ไม่เหมาะสม
  2. จดหมายเข้ามาในคิวการละเมิด
  3. บอกนักข่าวที่ทำผิดกฎเกี่ยวคุณจะผ่านมันไป
  4. ค้นหาลูกค้ารายใดที่ใช้ IP นั้นส่งต่อรายงานและถามว่าพวกเขารู้ว่าเกิดอะไรขึ้น
  5. การให้ผู้ใช้ปลายทางไม่ตอบสนองกับสิ่งที่โง่จริงๆการสอนตามบรรทัดของ "โปรดอย่าปล่อยให้มันเกิดขึ้นอีก" เป็นสิ่งที่ดีที่สุด มีโครงการที่ถูกกฎหมายที่รายงานการล่วงละเมิดส่วนใหญ่เกิดขึ้นเพราะนักวิจัยด้านความปลอดภัยหากนั่นไม่ใช่ช่องของคุณคุณก็ไม่ต้องกังวล
  6. ไปที่ขั้นตอนที่ 1 และทำซ้ำ

ส่วนใหญ่ครั้งเดียววนรอบก็เพียงพอแล้ว การปลอมแปลงผิดไม่ใช่สิ่งที่ฉันได้เห็นมากฉันหมายถึงว่ามันเกิดขึ้น แต่มันชัดเจนมากเพราะพวกเขาพยายามที่จะทำให้คนมีปัญหาในขณะที่รายงานการละเมิดที่ชอบด้วยกฎหมายมักจะเป็นของ "เราไม่สนใจว่าทำไม ที่เกิดขึ้นเพียงทำให้มันหยุด "ชนิด

สิ่งที่คุณควรทำ

คุณอาจเห็นคำเตือนเรื่องการละเมิดลิขสิทธิ์รายงานสแปมกลุ่มคำเตือนที่ลึกลับยิ่งขึ้นเป็นครั้งคราว ... เซิร์ฟเวอร์ที่ให้บริการแนวโน้มที่หลากหลายยิ่งขึ้นบรอดแบนด์ที่มีการละเมิดลิขสิทธิ์มากขึ้นทุกคนจะได้รับรายงานสแปม ส่งต่อพวกเขาทั้งหมด เวลาส่วนใหญ่ที่ลูกค้าจะสารภาพความไร้เดียงสาจากนั้นทำความสะอาดเครื่องคอมพิวเตอร์ของพวกเขาหรือทำความสะอาดการกระทำของพวกเขา หากพวกเขาตั้งใจแน่วแน่ที่จะรักษามัน

โดยปกติแล้วรายงานการละเมิดจะถูกสร้างขึ้นเพื่อตอบสนองต่อการกระทำโดยเครื่องจักรที่ถูกบุกรุก ... ปัญหาที่เด็ก ๆ ชอบทำในบ้านของคนอื่นเพื่อไม่ให้เข้าไปในบ้านของพวกเขาและทำให้พ่อแม่ไม่มีความสุข สมมติว่าลูกค้าไม่ได้ตั้งใจส่งสแปม พยายามให้ลูกค้าได้รับประโยชน์จากข้อสงสัยในครั้งแรกที่พวกเขาได้รับรายงานกับพวกเขา

คำเตือนอาจใช้เวลาสักครู่ในการหยุดหากคุณมีผู้ส่งสแปมจำนวนมาก แต่ถ้าคุณยังคงเห็นรายงานที่มีกิจกรรมหลังจากที่ลูกค้าได้รับคำเตือนหรือพวกเขาได้รับการร้องเรียนจำนวนมากคุณอาจต้องการยกเลิกพวกเขาสำหรับ AUP การละเมิด คุณอาจจะรู้ได้ค่อนข้างเร็วถ้ามีคนแกล้งทำรายงานมากพอที่จะไปถึงจุดนั้น

มีกราฟปริมาณการจราจร ประเภทรายงานการละเมิดส่วนใหญ่ (สแปมลิขสิทธิ์ ddos) จะทำให้กราฟการจราจรสว่างขึ้น ... โดยเฉลี่ย 40kbit แต่ก็เพิ่มขึ้นเป็น 10mbit และอยู่ที่นั่นนานหลายชั่วโมง? อย่าทำอะไรจนกว่าจะมีคนบ่นหรือเริ่มส่งผลกระทบต่อลูกค้า แต่การรับส่งข้อมูลที่ผิดปกติจะทำให้คุณมีกระสุน

สิ่งที่ไม่ควรทำ ...

อย่าให้ข้อมูลลูกค้านอกเสียจากว่ามีใครส่งคำสั่งศาลให้คุณและคุณสามารถพิสูจน์ได้ว่าคำสั่งนั้นถูกต้อง ผู้สื่อข่าวผู้ทำทารุณกรรมบางคนจะขอข้อมูลโดยหวังว่าจะได้รับความร่วมมือจากผู้ให้บริการ แต่ถ้าคุณส่งเรื่องให้คนอื่นนอกเหนือจากศาลคุณอาจจะสร้างปัญหาทางกฎหมายด้วยตัวคุณเอง โดยทั่วไปตำรวจจะไม่ส่งอีเมลถึงคุณเพื่อขอข้อมูลการเรียกเก็บเงินจากลูกค้าของคุณและแม้ว่าพวกเขาทำคุณควรแจ้งให้พวกเขาทราบว่าคุณสามารถให้ข้อมูลดังกล่าวด้วยตนเองและนำเสนอคำสั่งศาลที่เหมาะสมเท่านั้น

อย่าปิดลูกค้าเพียงเพราะมีคนติดต่อคิวการละเมิดของคุณและขอให้คุณ หากพวกเขากำลังรายงานการละเมิดคุณต้องให้พวกเขามีหลักฐานบางอย่างซึ่งคุณสามารถดำเนินการต่อได้ ... ฉันบอกว่าการแกล้งทำผิดกฎเกี่ยวไม่ใช่เรื่องธรรมดาฉันไม่ได้บอกว่ามันไม่ได้เกิดขึ้น คุณเห็นว่ามันขึ้นอยู่กับจำนวนฐานลูกค้าของคุณ หญิงชราตัวเล็ก ๆ อาจจะไม่โจมตีความสนใจของโทรลล์สตรีม Twitch streamers ในทางกลับกันก็อาจ

ในทำนองเดียวกันอย่าปล่อยให้นักข่าวทารุณกรรมกลั่นแกล้งคุณ ... บางคนอาจถูกคุกคามและดุดันกับรายงานของพวกเขาหากคุณไม่เชื่อฟังคำสั่งของพวกเขาทันที ความรับผิดชอบของคุณในฐานะที่เป็นท่อคือการส่งต่อการแจ้งเตือนและดำเนินการในเวลาที่เหมาะสมหากลูกค้าไม่ร่วมมือ คุณต้องรับผิดชอบหากคุณรู้ว่าลูกค้ากำลังทำสิ่งที่ไม่ดีและปล่อยให้พวกเขาดำเนินการต่อ มีนโยบายที่สมเหตุสมผล (อ่าน: ไม่นิยมโจรสลัด) และยึดติดกับมันซึ่งจะช่วยได้ถ้ามีอะไรผิดพลาดเกิดขึ้น หากคุณให้แบนด์วิดท์เท่านั้นและไม่ได้โฮสต์คุณอาจไม่รับผิดชอบในการลบเนื้อหาเว้นแต่ลูกค้าของคุณจะไม่ทำเช่นนั้นเมื่อคุณถามพวกเขา

อย่าเครียดมากเกินไป 99.9% ของรายงานการละเมิดที่ ISP เป็นสิ่งที่น่าเบื่อจริงๆซึ่งเป็นจำนวน "ฉันเห็นสิ่งเลวร้ายนี้มาจากเครือข่ายของคุณมันอาจเป็นเครื่องที่ถูกบุกรุก

ในกรณีส่วนใหญ่การเปรียบเทียบเวลาของเหตุการณ์ที่รายงานกับกราฟปริมาณการใช้จะบอกความถูกต้องของรายงาน กระบวนการที่ไม่เป็นมิตรจะไม่ส่งอีเมลหรือสแกนพอร์ตในแบบที่ซ้ำกัน

สิ่งสุดท้าย.

หากคุณเคยได้รับกรณีการละเมิดที่เกี่ยวข้องกับตำรวจอย่าลืมถามอย่างชัดเจนว่าพวกเขาต้องการให้คุณทำอะไร แต่อย่าคาดหวังว่าพวกเขาจะได้คำตอบทางเทคนิค บางครั้งตำรวจไม่คุ้นเคยกับเทคโนโลยีที่เกี่ยวข้องทั้งหมด (ฉันได้รับแจ้งว่ามีอยู่ครั้งหนึ่งที่พวกเขาต้องการเยี่ยมชมเราเพื่อจับ VPS ทางร่างกายนั่นสนุกมาก) แต่พวกเขามีความคิดว่าพวกเขาต้องการทำอะไร สิ่งที่พวกเขากำลังจะเป็นหลังจากนั้นขึ้นอยู่กับประเภทของบริการที่คุณให้

Kaithar
แหล่งที่มา
4

หากคุณกำลังปรับใช้เป็น ISP ที่ไม่ได้ตรวจสอบคุณอาจไม่สามารถยืนยันได้ว่าทราฟฟิกที่เป็นอันตรายกำลังเดินทางผ่านเครือข่ายของคุณ มิฉะนั้นคุณอาจจำเป็นต้องตั้งค่าการตรวจสอบการรับส่งข้อมูลพื้นฐานบางรูปแบบอย่างน้อยที่สุดก็เป็นระบบ TCPDump

คุณอาจต้องการติดตั้งระบบจองตั๋วและร้องเรียนอย่างรุนแรงต่อลูกค้าของคุณ ต้องการการตอบสนองภายในระยะเวลาที่กำหนดพร้อมด้วยเรย์แบนเซอร์วิสซึ่งเป็นผลมาจากการไม่ตอบกลับหรือแก้ไขปัญหา ฯลฯ

คุณไม่สามารถระบุได้ว่ารายงานนั้นจริงหรือเท็จ แต่จากประสบการณ์ของฉันคุณจะเรียนรู้ที่จะวัดความถูกต้องได้อย่างรวดเร็ว กำหนดข้อกำหนดสำหรับการส่งข้อร้องเรียนการละเมิด - ตัวอย่างเช่นต้องการทราฟฟิกหรือการเข้าถึงบันทึกอย่างชัดเจนซึ่งแสดงถึงการมีส่วนร่วมของเครือข่ายของคุณ

โดยทั่วไปแล้วการร้องเรียนสแปมจะรวมถึงส่วนหัวของอีเมลและแหล่งที่มาดังนั้นคุณสามารถตัดสินใจเป็นกรณี ๆ ไปตามการตัดสินใจในแต่ละกรณีเกี่ยวกับวิธีจัดการกับปัญหา SpamCop น่าจะมีข้อดีอยู่บ้าง

ทำความคุ้นเคยกับ DMCA หรือกฎหมายลิขสิทธิ์ของสหราชอาณาจักรที่เทียบเท่ากัน

คุณอาจต้องตั้งค่าบางอย่างของตัวเองและช่วยกำหนดวิธีการใช้บริการของคุณ

โชคดี

iisor
แหล่งที่มา
ระบบตั๋วมีอยู่แล้วและ tcpdump เป็นไปได้แน่นอนในแต่ละกรณีฉันแค่สงสัยว่ามีวิธีแก้ไขปัญหาอื่น ๆ หรือไม่ แต่ดูเหมือนว่าเป็นเช่นนั้น ขอบคุณสำหรับคำตอบ.
André Borie
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.