ISP로서 악용 사례 보고서를 어떻게 처리합니까?


12

틈새 시장에 인터넷 서비스를 제공 할 중소 기업을 설립하고 있습니다. 우리는 (법이 허용하는 한도 내에서 완전히 제한되지 않고 모니터링되지 않은) 인터넷 액세스를 제공 할 것입니다.하지만 정당하지 않다면 여전히 패킷을 캡처 할 수있는 기능을 제공 할 것입니다. 보고서 (Google 검색에서 관련성이없는 항목)

고객의 IP 중 하나에서 온 SSH bruteforce에 대한 이메일을 받았다고 가정 해 보겠습니다. 트롤이 아닌 정품인지 확인하려면 어떻게해야합니까 (로그 항목 및 .pcap도 위조 될 수 있음)? 큰 ISP는 어떻게합니까 (실제로 악용 사례 신고를하는 사람들을 위해)?

마찬가지로 스팸 전자 메일에 대한 불만 사항은 스팸 전자 메일이 처리되기 전에 정품인지 여부를 어떻게 확인합니까? 이것도 문제입니까? 트롤이 제공자에게 문제를 일으키기 위해 나쁜 일을했다고 주장하는 사람이 있다고보고 한 사례가 있습니까?

네트워크를 떠나는 모든 단일 패킷을 기록하는 것이 정죄를 받습니까? 아니면 그러한 극단으로 가지 않는 산업 표준 솔루션이 있습니까?

문안 인사.


왜 악용 사례 신고를 처리 하시겠습니까?
Michael Hampton

6
무슨 소리 야? 누군가가 우리 고객 중 한 명이 스팸 / DoS / 브 루트 포스를 뿜어내는 것에 대해 합법적으로 불만을 표명 한 경우, 그러한 공격의 끝에 도달하는 것에 감사하지 않는 것처럼 누군가 그것에 대해 무언가를하고 싶습니다.
André Borie

2
좋은 대답입니다. 그렇다면 서비스 약관은 무엇입니까?
Michael Hampton

1
서비스 약관을 통해 어떤 이유로 든 누군가의 연결을 종료 할 수 있으며 허용 가능한 사용 정책으로 인해 DoS, 스팸, 무차별 대입, 기본적으로 악의적 인 것으로 간주되는 모든 행위가 금지됩니다. 내 주요 질문은 불만 사항에 따라 진정인지 트롤 / 실수인지 어떻게 판단해야합니까? 모든 패킷을 기록하면 그렇게 할 수 있지만 우리가 원하는 경우에도 기술적으로 불가능하므로 큰 플레이어가 어떻게하는지 묻습니다.
André Borie

3
@MichaelHampton SSH 무차별 공격을 분출하는 시스템이 손상되었을 수 있습니다. 고객 중 하나가 타협되었다고 믿을만한 이유가 있고 고객에게 알리지 않으면 직장에 끔찍합니다.
David Schwartz

답변:


20

일반적으로 말해서, 당신은 중립 통신사로 행동하고 아마 콘텐츠를 검사해서는 안됩니다. 악용 사례 보고서를 처리하는 일반적인 프로세스는 티켓 시스템을 설정하거나 abuse @ yourdomain을 위해 선택한 사서함을 설정 한 다음 최종 사용자에게 보고서를 전달하는 것입니다.

나는 일반적으로이 분야에 대해 많은 경험을 가지고 있지만, 우리가 어떻게이 일을하는지는 다른 사람이하는 일이 아니기 때문입니다. 제공하는 서비스에 대한 접근 방식을 조정해야합니다. 즉, 너무 구체적이지 않은 조언을 줄 수 있으며 대부분의 장소에서 남용을 처리하는 방법의 기초를 형성합니다. 나는 변호사가 아니며 이것은 누군가 내 의견으로 해석되어서는 안되며 내 고용주가 누구인지 알아낼 정도로 미친 사람을 위해서만 내 자신의 의견으로 해석되어서는 안됩니다.

희망적으로 이것 중 일부는 도움이됩니다.

기본 절차 :

  1. 악용 이메일 주소가 있습니다.
  2. 메일이 남용 대기열에 들어옵니다
  3. 악용 사례 신고자에게 전달해주십시오.
  4. 해당 IP를 사용중인 고객을 찾아보고 보고서를 전달한 후 진행 상황을 알고 있는지 묻습니다.
  5. 최종 사용자에게 실제로 어리석은 말로 응답하지 않는 경우 "다시 발생하지 않도록하십시오"라는 지침을 따르는 것이 가장 좋습니다. 악용 사례 보고서를 차단하는 합법적 인 프로젝트가 있지만 대부분은 보안 연구원으로 인해 발생합니다. 틈새 시장이 아니라면 걱정할 필요가 없습니다.
  6. 1 단계로 이동하여 반복하십시오.

대부분의 경우 하나의 루프 스루로 충분합니다. 악용 스푸핑은 내가 실제로 본 것 중 하나가 아닙니다. 사실 그런 일이 발생하지만 합법적 인 학대 보고서는 "우리가 왜 그런지 신경 쓰지 않습니다. 일어나기 만하면됩니다 "

해야 할 일

당신은 아마 몇 가지 불법 복제 경고, 많은 스팸 보고서, 가끔 더 난해한 경고를 보게 될 것입니다 ... 더 큰 다양성을 향한 서버 호스팅 동향, 광대역은 더 불법 복제이며, 모두가 스팸 보고서를받습니다. 그들 모두를 전달하십시오. 대부분의 경우 고객은 무죄를 주장하고 PC를 정리하거나 행동을 정리합니다. 그들이 그것을 유지하기로 결정했다면 아마 트랙을 더 잘 덮을 것입니다.

일반적으로 악용 사례 보고서는 손상된 시스템의 조치에 대한 응답으로 생성됩니다. 문제는 아이들이 다른 사람의 앞뜰을 엉망으로 만들어 집으로 들어 가지 않고 부모를 불행하게 만듭니다. 고객이 의도적으로 스팸을 보내지 않는다고 가정하십시오. 고객에게 처음으로 보고서를받을 때 의심의 혜택을 고객에게 제공하십시오.

정말 많은 스패머가있는 경우 경고가 중지되는 데 시간이 걸릴 수 있지만 고객에게 경고를받은 후에도 이벤트가 포함 된 보고서를 계속 보거나 불만이 많이 발생하면 AUP에 대해 종료하는 것이 좋습니다. 위반. 누군가가 그 시점에 도달하기에 충분한 보고서를 가짜로보고 있다면 당신은 아마 꽤 빨리 깨닫게 될 것입니다.

교통량 그래프를 작성하십시오. 대부분의 악용 사례 유형 (스팸, 저작권, ddos)은 트래픽 그래프를 밝게 표시합니다. 평균 40kbit이지만 갑자기 10mbit로 점프하여 몇 시간 동안 머물 렀습니까? 누군가가 불만을 제기하거나 고객에게 영향을주기 시작할 때까지 아무 것도하지 마십시오. 불규칙한 트래픽은 확실히 탄약을 줄 것입니다.

하지 말아야 할 것 ...

누군가가 귀하에게 법원 명령을 내리지 않고 해당 명령이 합법적이라는 것을 입증 할 수 없다면 고객 정보를 제공하지 마십시오. 일부 학대 기자는 협동 조합 제공자를 구하기 위해 정보를 요구할 것입니다. 그러나 법원 이외의 다른 사람에게 정보를 넘겨 주면 귀하는 아마 법적 문제를 일으킬 수 있습니다. 경찰은 일반적으로 고객의 청구 연락처를 요청하는 이메일을 보내지 않으며, 고객이 직접 연락 했더라도 해당 정보를 직접 제공하고 적절한 법원 명령을 제시 할 수 있다고 알려 주어야합니다.

누군가가 남용 대기열에 연락하여 요청했기 때문에 고객을 끄지 마십시오. 그들이 악용 사례를 신고하는 경우 행동 할 수있는 증거를 제공하도록해야합니다 ... 악용 사례 신고가 일반적이지 않다고 말했지만, 그렇지 않았다고 말하지 않았습니다. 당신이 그것을 얼마나 보는지는 전적으로 당신의 고객 기반이 얼마나 많은 목표에 달려 있는지에 달려 있습니다. 작은 노파들은 아마도 트롤의 관심을 끌지 않을 것입니다.

마찬가지로, 학대 기자들이 당신을 괴롭 히게하지 마십시오. 어떤 사람들은 즉시 명령에 순종하지 않으면 그들의 보고서에 위협을 받고 공격을받을 수 있습니다. 도관의 책임은 고객이 협조적이지 않은 경우 통지를 전달하고 적시에 조치를 취하는 것입니다. 고객이 나쁜 일을하고 있다는 것을 알고 책임을 지도록하는 경우에만 책임을집니다. 합리적인 (읽기 : 해적을 좋아하지 않음) 정책을 세우고이를 지키면 문제가 발생하면 도움이됩니다. 대역폭 만 제공하고 호스팅하지 않는 경우 고객이 요청하지 않은 경우 콘텐츠를 게시 중단 할 책임이 없습니다.

너무 강조하지 마십시오. ISP에 대한 남용 보고서의 99.9 %는 정말 지루한 절차적인 것입니다. "이 나쁜 것이 네트워크에서 나온 것을 보았을 것입니다. 아마도 손상된 시스템 일 것입니다. 살펴보십시오."

대부분의 경우보고 된 이벤트 시간을 트래픽 그래프와 비교하면 보고서의 정당성을 알 수 있습니다. 적대적인 프로세스는 전자 메일이나 포트 스캔을 1-2로 보내지 않습니다.

마지막 한가지.

경찰과 관련된 학대 사건이 발생한 경우, 경찰이 귀하에게 무엇을하고자하는지 명시 적으로 요청해야하지만 기술적 인 답변을 기대하지는 마십시오. 때때로 경찰은 관련 기술에 전적으로 익숙하지는 않지만 (한 번에 그들은 우리를 방문하여 물리적으로 VPS를 점령하고 싶다고 들었습니다. 재미있었습니다.) 그들이 어떤 종류의 서비스를 제공 할 것인지는 전적으로 어떤 유형의 서비스를 제공하는지에 달려 있습니다.


4

모니터링되지 않는 ISP로 배포하려는 경우 악의적 인 트래픽이 네트워크를 통해 이동하고 있는지 확인할 수 없습니다. 그렇지 않으면 최소한 TCPDump 시스템에서 특정 형태의 기본 트래픽 모니터링을 설정해야합니다.

어떤 종류의 발권 시스템을 설정하고 고객에게 심각한 불만을 전달할 수도 있습니다. 응답하지 않거나 문제를 수정 한 결과로 서비스가 금지되는 등 일정 시간 내에 응답해야합니다.

보고서가 참인지 거짓인지 항상 결정할 수는 없지만 제 경험상 타당성을 측정하는 방법을 빨리 배우게됩니다. 악용 신고를 제출하기위한 요구 사항을 설정합니다 (예 : 네트워크 참여를 명확하게 보여주는 트래픽 또는 액세스 로그 필요).

스팸 불만에는 일반적으로 이메일 헤더와 소스가 포함되므로 처리 방법에 대한 개별적인 결정을 내릴 수 있습니다. SpamCop에는 좋은 것이 있어야합니다

DMCA 또는 이와 동등한 영국 저작권법을 숙지하십시오.

자신을 위해 몇 가지 선례를 설정하고 서비스 사용 방법에 대한 어조를 설정하는 데 도움이 될 것입니다.

행운을 빕니다


발권 시스템이 이미 준비되어 있으며 사례별로 tcpdump가 가능합니다. 다른 솔루션이 있는지 궁금하지만 다른 것 같습니다. 답변 주셔서 감사합니다.
André Borie
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.