В экспертизе смысла уже наверное нету, так как провайдер утверждает что не хранит данные и логи.
Его аплинк может хранить статистику трафика. Такая статистика вполне может доказать или опровергнуть факт атаки. И даже сказать что-нибудь о её происхождении.
разве он не обязан хранить информацию определенное время? Есть у нас кокой нибудь документ регламентирующий сроки? и можно ли связать регламенты, постановления и приказы по связи с Интернетом?для связистов как раз есть обязательные сроки хранения данных о соединениях абонента.
Есть постановление Правительства. Но оно не слишком конкретное и не указывает, какие именно логи надо хранить.
Даже если ваш провайдер нарушил указанную норму, это не сделает его виновным в накрутке трафика.