Wie kann ich eine Verbindung über einen Proxyserver und / oder ein VPN verfolgen?

Ich denke, die Beiträge oben heben gültige Punkte hervor. Es ist sehr unwahrscheinlich, dass Sie mit der Nachverfolgung davon irgendwohin kommen, und selbst wenn Sie dies tun, werden Sie wahrscheinlich nichts dagegen unternehmen können.

Proaktiver ist es, Wege zu finden, um das Geschehen zu stoppen und sicherzustellen, dass Ihre Boxen sicher sind.

In der Umgebung, in der ich arbeite, gab es eine Regel, die besagte, dass wir, wenn wir angegriffen hätten (in diesem Fall als 10 oder mehr Versuche in einer Stunde definiert), wir dies melden mussten. Dies bedeutete, dass wir Hunderte von Berichten pro Woche einreichten, da viele Menschen unser Netzwerk scannen. Wir haben darüber diskutiert und beschlossen, die Berichterstattung aufzugeben, da wir so zuversichtlich waren, dass unsere Systeme sicher waren und nur akzeptieren mussten, dass wir gescannt / versucht wurden.

Bei HTTP fügen einige Proxys einen speziellen HTTP-Header wie X-Forwarded-For hinzu, um die ursprüngliche IP-Adresse anzugeben. Wenn vorhanden, sollte der Wert mit Vorsicht verwendet werden, da ein gefälschter Header leicht hinzugefügt und auf eine unschuldige Person verwiesen werden kann.

Ein solcher Header hilft Ihnen nicht, wenn Sie mit FTP arbeiten (was nicht mit HTTP-Headern zu tun hat), aber möglicherweise befindet sich dieselbe Proxy-IP-Adresse ungefähr zur gleichen Zeit in Ihren Webserver-Protokollen. Wenn dies der Fall ist, müssen Sie immer noch die Kopfzeilen des Webservers oder zumindest diesen speziellen Header schreiben.

Die einzige Möglichkeit, etwas über einen Proxy / VPN zu verfolgen, besteht darin, auf die Protokolle zuzugreifen, die von diesem Proxy verwaltet werden. Normalerweise wird der Eigentümer kontaktiert, erhält eine Uhrzeit und eine IP-Adresse, auf die zugegriffen wurde (Vorsicht vor Zeitzonen), und die Suche nach Informationen wer war zu dieser Zeit mit dir verbunden? Einige seriöse Anbieter helfen Ihnen bei ernsthaften Aktivitäten, die meisten Proxies / VPNs befinden sich auf gerooteten Maschinen, sodass niemand Protokolle führt.

Bei den meisten FTP-Servern können Sie jemanden nach einer Reihe von fehlgeschlagenen Anmeldeversuchen blockieren. Möglicherweise können Sie dies auch über Ihre Firewall tun, je nach Konfiguration. Die Wahrscheinlichkeit, dass Sie dies auf jemanden zurückverfolgen, ist fast Null. Sie können nur überprüfen, ob Ihr Computer nicht gefährdet wurde, ob Ihre Kennwörter sicher sind und Ihren Server so einrichten, dass er Angreifer blockiert.

Wenn es sich um SOCKS5-Server handelt, gibt es wahrscheinlich keine externen Fingerabdrücke, die Sie in der FTP-Aktivität Ihres FTP-Servers finden können. (Andere Protokolle wie SMTP haben ein paar Hinweise). Mit anderen Worten, eine SOCKS5-Proxy-Verbindung folgt strikt dem Prinzip der "Transparenz".

(Es kann sehr kleine Hinweise auf TCP-Ebene geben, die herstellerspezifisch sind, dies ist jedoch unwahrscheinlich).

Woher wissen Sie, dass es sich um SOCKS5-Server handelt? (Können Sie mit einem Client, der SOCKS5 unterstützt, eine Verbindung zu den Servern herstellen?). Wenn eine Authentifizierung erforderlich ist, sollten Sie mit dem Administrator des Proxys arbeiten können. Wenn dies nicht möglich ist, können Sie den Verkehr von dieser IP-Adresse aus verbieten.

Dasselbe könnte man von einem VPN sagen, weil sie oft auch Logging haben.

Die wichtigste Frage ist jedoch die Art des Administrators des mutmaßlichen Proxys. Wenn sie legitim sind, können Sie mit ihnen arbeiten. (Als Administratoren haben beide die Verantwortung und das Fachwissen, um Ihnen zu helfen). Ich finde die Problembeschreibung ungewöhnlich, die meisten Leute werden über Botnets angegriffen, in denen viele gekaperte Computer die Quelle des Datenverkehrs sind. In diesen Fällen gibt es keinen administrativen Kontrahenten (es sei denn, es handelt sich um ein einzelnes Unternehmen, in dem infizierte Windows-Desktops vorhanden sind), das Ihnen helfen kann.

Kip meint wahrscheinlich, dass der beste Weg ist, einfach zu akzeptieren, dass Sie gescannt werden und mit iptables die Verbindungen der am meisten angreifenden ips oder mit iptables-Modulen syn-Pakete verwerfen, wenn Verbindungen von einer IP zu schnell kommen. Ich nehme an, die Verbindungsraten sind ziemlich hoch, daher sollte es einfach sein, eine iptables-Regel festzulegen, die Angreifer fernhält, ohne rechtmäßige Benutzer zu stören.

Wenn Sie proftpd verwenden, können Sie außerdem mod_delay verwenden, um es für den Angreifer schwieriger / langsamer zu machen, Sie nach guten Benutzernamen zu durchsuchen .