[jone31]

коллеги, прошу помощи... 

есть один абонент(физлицо) которого постоянно ддосят, уже устали фильтровать его... Он один мешает работе всей сети, постоянно просадки канала и прочие артефакты в сети из-за ддоса на его IP.

приняли решение расторгнуть с ним договор в одностороннем порядке... но почитав договор и правила оказания услуг выяснили что вроде как мы не можем расторгнуть договор по своей инициативе... в Интернетах тоже не могу найти примеры и основания для расторжения договора... Абонент в устной беседе сообщил о намерении судится в случае одностороннего отказа нами от договора, т.к. у нас нет на это законных оснований... В судебной практике тоже нагуглил что Ростелекома не поддерживали суды при расторжении договора, даже в случае вывода из эксплуатации целой АТС, обязывали возобновить оказание услуг... вообщем полная тьма.

 

может кто сталкивался с таким? есть пример письма? формулировки? 

[Связной (С)]

@jone31 , что у абонента там такое? 

[jone31]

1 час назад, Связной (С) сказал:

@jone31 , что у абонента там такое? 

я хз. может игровые серверы какие поднимает... или еще что

[sdy_moscow]

Каким потоком ДДОСят? У него статический ИП?

[Mia]

Может приостановить оказание услуг в связи с вирусной активностью? А потом и расторгнуть. Ну и заранее собрать информацию о ДДОСах, которые прилетают, чтобы можно было показать в суде. 

[jone31]

2 часа назад, sdy_moscow сказал:

Каким потоком ДДОСят? У него статический ИП?

Да, ддос на статик ип. Порты рандомные, зависимости не найдено никакой. 

 

1 час назад, Mia сказал:

Может приостановить оказание услуг в связи с вирусной активностью? А потом и расторгнуть. Ну и заранее собрать информацию о ДДОСах, которые прилетают, чтобы можно было показать в суде. 

В правилах вообще я не нашёл оснований для приостановки услуг… 

думаем расторгнуть в судебном порядке(по решению суда), но непонятны веские основания наши для расторжения.

как у нас в один миг может пропасть техвозможность например… вчера была тв, а сегодня уже нет

[sdy_moscow]

32 минуты назад, jone31 сказал:

Да, ддос на статик ип. Порты рандомные, зависимости не найдено никакой.  

А поток-то какой вливают???

[jone31]

4 часа назад, sdy_moscow сказал:

А поток-то какой вливают???

всмысле какой поток? не понял вопрос

[Andrei]

Постановление Правительства РФ от 10 сентября 2007 г. N 575

Об утверждении Правил оказания телематических услуг связи.

 

27. Оператор связи вправе:
...

осуществлять ограничение отдельных действий абонента и (или) пользователя, если такие действия создают угрозу для нормального функционирования сети связи.

 

Возникнет конечно вопрос а какие действия абонента создают угрозу? ДДОС конечно организует не абонент, но его действия провоцируют ДДОС. Может в этой логике подумать?

 

Вдогонку:

28. Абонент обязан:
...

г) содержать в исправном состоянии абонентскую линию и пользовательское (оконечное) оборудование, находящиеся в помещении абонента, а также соблюдать правила эксплуатации этого оборудования;
д) предпринимать меры по защите абонентского терминала от воздействия вредоносного программного обеспечения;
е) препятствовать распространению спама и вредоносного программного обеспечения с его абонентского терминала.

 

[jone31]

Про обязанности абона я видел, но сам факт такого события(ддоса) как доказать то? Листинг активных соединений на ip абонента? По-моему бред как-то ….

 

Да и сам факт влияния действий абона на просадки во всей сети тож листингом соединений не докажешь…

 

маршрктизаторы у нас по pps ложатся и начинают терять пакеты…

 

Т.е. весь его трафик к абону не идёт фактически, дропается на бордере 90% ддоса

[Andrei]

Простого решения не ждите. Конечно придется напрячься и выстроить свою позицию для суда совместно с юристами и технарями

[sdy_moscow]

3 часа назад, jone31 сказал:

всмысле какой поток? не понял вопрос

Сколько мегабит?

[jone31]

Только что, sdy_moscow сказал:

Сколько мегабит?

6гбит в пике ложат канал, ппс около 2млн

[ixi]

Подумалось, что никто не может запретить вам сменить абоненту статический адрес на новый, заранее уведомив его об этом. Хоть каждый день.

[[anp/hsw]]

1 час назад, ixi сказал:

никто не может запретить вам сменить абоненту статический адрес на новый

В результате досить будут уже десяток адресов в вашей сети. Чего добьетесь?

Тут в том-то и фишка, что сценарий "сделать абоненту максимально некомфортно" - не решить проблему, т.к. очевидно, что ДДОС сам на себя он не заказывает и целью его деятельности это не является.

Если бы он хотел напакостить таким образом, никто не мешало бы ему ДДОСить любой IP в вашей сети. Тут же кто-то извне создает проблему и абонент просит ее решить, хотя очевидно, что такое невозможно вашими силами.

Оснований отключать абонента уж точно нет ниаких.

[MrNv]

напишите скрипт который будет блэкхолить айпи абонента с периодичностью раз в х часов, абонент сам от вас уйдет. Факт ддоса вы же можете доказать?

[jone31]

1 час назад, MrNv сказал:

напишите скрипт который будет блэкхолить айпи абонента с периодичностью раз в х часов, абонент сам от вас уйдет. Факт ддоса вы же можете доказать?

не уходит... да и не куда уходить ему. в этой деревне нет других операторов

 

факт ддоса можно доказать листингом соединений, графиком загрузки порта - но опять, они не являются юридически значимыми

[Mia]

Может отключить услугу статический Ip и посадить его за НАТ, сказать что не осталось больше ip для статики.. 

ну и ещё, в своё время как-то интересовался, вроде бы были сервисы которые очищали трафик от ДДОСа, типа строишь тоннель до какого-то ЦОДа, там трафик чистят и тебе выдают уже очищенный. 

если такое есть, то поднять тоннель и этого клиента посадить туда (выжав ему статический ip от сервиса), у него из за тоннеля вырастит пинг прилично, но трафик будет чистым и ДДОС почистят где-нибудь на М9.. 

возможно после увеличения задержек он уйдет, а если не уйдет, то будет работать. Главное чтобы стоимость сервиса для вас не была напряжной (ну или оплату сервиса на клиента скинуть)

[SOFTOLAB]

On 7/1/2021 at 2:06 PM, Mia said:

Может приостановить оказание услуг в связи с вирусной активностью? А потом и расторгнуть. Ну и заранее собрать информацию о ДДОСах, которые прилетают, чтобы можно было показать в суде. 

А потом попасть наконкретно на возмещение ущерба, потому что входящий DDoS это никак не вирусная активность.

On 7/1/2021 at 3:54 PM, jone31 said:

В правилах вообще я не нашёл оснований для приостановки услуг… 

думаем расторгнуть в судебном порядке(по решению суда), но непонятны веские основания наши для расторжения.

как у нас в один миг может пропасть техвозможность например… вчера была тв, а сегодня уже нет

Он легко докажет что это фикция, и потом придется опять же компенсировать ущерб, если он купит канал от какого то мегафона на время незаконной приостановки услуг, потом придется эту покупку вам оплачивать)

20 hours ago, Andrei said:

Возникнет конечно вопрос а какие действия абонента создают угрозу? ДДОС конечно организует не абонент, но его действия провоцируют ДДОС. Может в этой логике подумать?

Если вам звонят мошенники и пытаются украсть ваши деньги, может и посадить вас, т.к. вы же им сказали код из SMS?

18 hours ago, jone31 said:

6гбит в пике ложат канал, ппс около 2млн

6 гигабит это уже явно не школьники развлекаются, я бы уточнил у него что там живет и думал бы уже дальше, как отсеивать ботов.

7 hours ago, ixi said:

Подумалось, что никто не может запретить вам сменить абоненту статический адрес на новый, заранее уведомив его об этом. Хоть каждый день.

Если данное действие принесет ему ущерб, то он докажет в суде потом что опеатор это делал специально.

Да и проблему это не решит, все равно аплинк же забивать будут.

4 hours ago, MrNv said:

напишите скрипт который будет блэкхолить айпи абонента с периодичностью раз в х часов, абонент сам от вас уйдет. Факт ддоса вы же можете доказать?

Прежде чем советовать советы от которых будет много убыков, нужно думать головой.

Вроде даже статья есть о вредительстве на сетях электросвязи.

3 hours ago, jone31 said:

факт ддоса можно доказать листингом соединений, графиком загрузки порта - но опять, они не являются юридически значимыми

Это ничего не даст, потому что инициатором входящего трафика является не он, вот если бы он ддосил со своего канала, перебирал порты и пытался применить эксплоиты, это другое дело.

 

1 hour ago, Mia said:

Может отключить услугу статический Ip и посадить его за НАТ, сказать что не осталось больше ip для статики.. 

Это изменение условий договора с ущемлением прав второй стороны, у меня такое было, РТК долго извинялся и решил все компенсировать, когда понял что впихивать NAT и не уведомив о нем в договоре, это плохая идея даже для сельских судов.

 

[sdy_moscow]

8 часов назад, jone31 сказал:

...

факт ддоса можно доказать листингом соединений, графиком загрузки порта - но опять, они не являются юридически значимыми

С чего Вы это взяли?

 

А вообще есть 4 варианта которые стоит рассмотреть:

 

1) Клиент размещает у себя какой-то сервер (сервис) и его ДДОСят конкуренты.

Что делать - забаньте сервис, введите правило о запрете публичных сервисов без доп. соглашения. Пусть выносит свой сервис на облачную площадку с защитой от ДДОС, если ему нужен сервис - это в его же интересах.

 

2) Клиент заядлый геймер - играет где-то на серверах которые позволяют узнать ИП адрес клиента, кого-то обидел и его ДДОСят как только он входит в игрулю. Выход - забанить эту игрулю для клиента - сам отвалится, или предложить клиенту использовать для игр ВПН на площадку с защитой от ДДОС.

 

3) У клиента на компе живет вирусня, а вы игнорите абузы, в ответ начинают ДДОСить клиента и вас. Что делать - отключить клиента до излечения вирусни (имеете право).

 

4) Клиент - м..к и каким-то образом целенаправленно заказывает ДДОС на себя. Или кто-то из конкурентов заказывает ДДОС на какой-то первый попавшийся ИП из вашей сети. Что делать - Х.З., т.к. отключите и будут заказывать ДДОС на ваши шлюзы или другой ИП.

 

Ну еще что-то возможно конечно - но начните с первых 3-х.

 

[[anp/hsw]]

34 минуты назад, sdy_moscow сказал:

У клиента на компе живет вирусня, а вы игнорите абузы, в ответ начинают ДДОСить клиента и вас.

Это точно в нашей вселенной? Кто такой щедрый, что нальет 6 гигабит за вирусню?

[jone31]

1 час назад, sdy_moscow сказал:

С чего Вы это взяли?

 

полагаю что суды/абон скажут что мы можем написать/нарисовать там что угодно, доказать связь с его действиями непонятно как.... типо zabbix/mrtg не сертифицированы как средство измерения и т.д. и т.п.... 

 

по вирусне у абона - неизвестно. Нас к осмотру своего ПК не пускает, типо ковид и не имеем права мы в его ПК копаться.... мотивы его неизвестны. Цель ддоса установить не можем, там рандомные порты. Такое ощущение что он часть ботнета или еще что-то...

Было много на rdp порт 3389 - его забанили у него, но там другие рандомные порты... выборочно проверяли его порты - все закрыты, т.е. похоже что тупо перебор портов рандомно 

[sdy_moscow]

1 час назад, [anp/hsw] сказал:

Это точно в нашей вселенной? Кто такой щедрый, что нальет 6 гигабит за вирусню?

ЛЕГКО!

 

31 минуту назад, jone31 сказал:

полагаю что суды/абон скажут что мы можем написать/нарисовать там что угодно, доказать связь с его действиями непонятно как.... типо zabbix/mrtg не сертифицированы как средство измерения и т.д. и т.п.... 

 

по вирусне у абона - неизвестно. Нас к осмотру своего ПК не пускает, типо ковид и не имеем права мы в его ПК копаться.... мотивы его неизвестны. Цель ддоса установить не можем, там рандомные порты. Такое ощущение что он часть ботнета или еще что-то...

Было много на rdp порт 3389 - его забанили у него, но там другие рандомные порты... выборочно проверяли его порты - все закрыты, т.е. похоже что тупо перебор портов рандомно 

1. До суда еще надо дожить, и если у Вас будут какие-то данные, а у клиента - нет, то вы правы. Конечно надо соблюсти формальности - уведомление под запись, ссылки на пункты договора и правил оказания услуг.

 

2. Вы должны отделить его трафик и проснифирить. Как правило аномальную активность всегда можно выделить.