如何作为ISP处理滥用情况报告？

我正在建立一家小型企业，它将为利基市场提供互联网服务。我们将提供完全不受限制和不受监视的服务（在法律允许的范围内-尽管我们宁愿我们仍然没有能力在合理的情况下也能够捕获数据包），但我不确定我们该如何应对滥用行为报告（Google搜索未找到任何相关内容）。

假设我收到一封来自客户IP的有关SSH bruteforce的电子邮件。如何辨别它是否是真品而不是巨魔（日志条目甚至.pcaps可以被伪造）？大型ISP如何做到这一点（对于那些真正关心滥用报告的人而言）？

同样，对于垃圾邮件的投诉，在采取行动之前如何检查它们是否真实？这甚至有问题吗？曾经有过巨魔会举报某人涉嫌做坏事以希望使他们与提供者发生纠纷的情况吗？

我是否应谴责记录离开网络的每个数据包，或者是否有行业标准的解决方案？

问候。

一般而言，您是中立的载体，可能不应该检查内容。处理滥用情况报告的一般过程是设置票务系统，甚至只是一个邮箱来接收滥用@您的域，然后将报告转发给最终用户。

我之所以这么说，是因为尽管我在这一领域有很多特定的经验，但是在我们这里，它的完成方式将不会是其他人的确切做法。您需要针对所提供的服务量身定制方法。话虽如此，我可以为您提供一些不太具体的建议，这些建议是大多数地方处理虐待行为的基础。不过我不是律师，这不应该被理解为任何人的意见，而是我的意见，以防万一某个人疯狂地找到我的雇主。

希望其中一些有用。

基本程序：

1. 您有一个滥用电子邮件地址。
2. 邮件进入滥用队列
3. 告诉虐待记者，您会继续传下去。
4. 查找哪个客户正在使用该IP，将其转发给他们，并询问他们是否知道发生了什么。
5. 如果最终用户没有做出真正愚蠢的回应，则最好使用“请不要再发生”的指示。有合法的项目可以散布滥用行为报告，但是大多数情况是由于安全研究人员而发生的，如果这不是您的小众市场，那么您就不必担心。
6. 转到步骤1并重复。

大多数情况下，一个循环就足够了。滥用欺骗并不是我真正见过的东西，我的意思是它确实发生了，但这确实很明显，因为他们试图使人陷入困境，而合法滥用报告往往是“我们不在乎为什么发生，就让它停下来。

你应该做的事情

您可能会看到一些盗版警告，一堆垃圾邮件报告，偶尔更深奥的警告...服务器托管趋势趋于多样化，宽带更是盗版，每个人都收到垃圾邮件报告。转发所有。大多数情况下，客户会请求无罪，然后清理其PC或清理其行为。如果他们决心坚持下去，他们可能会更好地掩盖自己的足迹。

通常，虐待报告是针对受感染机器的行为而生成的……有问题的孩子喜欢在别人的前院弄乱，以免它跟踪到他们的房屋并让父母感到不满。假设客户不是故意发送垃圾邮件。尝试在第一次收到针对客户的报告时让客户从怀疑中受益。

如果您的垃圾邮件发送者确实非常多，则警告可能需要一段时间才能停止，但是如果在警告客户后继续看到带有事件的报告，或者它们收到很多投诉，您可能要考虑终止AUP违规。如果有人伪造的报告足以达到这一点，您可能很快就会意识到。

有流量图形。大多数滥用报告类型（垃圾邮件，版权，ddos）都会点亮一个流量图表……平均速度为40kbit，但突然跳到10mbit，并在那里停留了数小时？在有人抱怨或开始影响客户之前，请不要做任何事情，但是不规则的流量肯定会给您带来弹药。

没事做...

除非有人向您发出法院命令，并且您可以证明该命令是合法的，否则请不要透露客户信息。一些虐待记者会要求提供信息，以期获得合作社提供者，但如果将其移交给法院以外的任何其他人，则可能会为您自己造成法律问题。警察通常不会通过电子邮件向您询问客户的帐单联系人，即使他们这样做了，您仍然应该告诉他们您只能亲自提供该信息并提出适当的法院命令。

不要仅仅因为有人联系了您的滥用队列并要求您而关闭客户。如果他们要举报滥用行为，则需要让他们提供一些可以采取行动的证据……我说，滥用职权造假并不常见，我没有说这没有发生。您看到的数量完全取决于客户群的目标数量。小老太太可能不会攻击巨魔的注意力，另一方面可能是抽彩。

同样，也不要让虐待记者欺负您……如果您不立即听从他们的命令，有些人可能会对他们的报道产生真正的威胁和侵略性。如果客户不合作，您作为负责人的责任就是转发通知并及时采取措施。仅当您知道客户的状况不好并让他们继续时，您才有责任。制定明智的政策（请阅读：不偏爱海盗）并坚持下去，如果有任何棘手的事情，那将有所帮助。如果您仅提供带宽而不提供主机托管，则除非您的客户在要求时拒绝这样做，否则您可能不负责删除内容。

不要强调太多。ISP上99.9％的滥用报告确实是无聊的程序，相当于“我发现这是您的网络造成的坏消息，它可能是一台受感染的计算机，请仔细查看”。

在大多数情况下，将报告的事件时间与点击量图表进行比较将告诉您报告的合法性。敌对进程不会一并发送电子邮件或端口扫描。

最后一件事。

如果您确实遇到了涉及警察的虐待案件，请确保明确询问他们要您为他们做些什么，但不要指望他们能提供超级技术性的答案。有时，警察对所涉及的技术并不完全熟悉（有人告诉我，他们有时想去我们这里抢夺VPS，这很有趣），但是他们确实对要达到的目标有所了解。他们将要从事的工作究竟完全取决于您提供的服务类型。

如果要部署为不受监视的ISP，则可能无法确认恶意流量正在通过网络传播。否则，您很可能需要设置某种形式的基本流量监控，至少是TCPDump系统。

您可能还需要建立某种票务系统，并将严重的投诉传递给您的客户。要求在一定时间内做出响应，并且由于未答复或纠正问题而导致服务被禁止等。

您无法始终确定报告是对还是错，但是以我的经验，您将很快学会评估有效性。设置提交滥用投诉的要求-例如，要求流量或访问日志清楚显示您的网络参与情况。

垃圾邮件投诉通常包括电子邮件标题和来源，因此您可以根据具体情况来决定如何处理它们。SpamCop应该有一些好处

熟悉DMCA或同等的英国版权法。

您可能必须为自己树立一些先例，并帮助设定服务使用方式的基调。

祝好运