Как я могу отследить соединение через прокси-сервер и / или VPN?

Question

Кто-то постоянно атакует мои ftp-серверы. Я заметил IP-адреса, которые он оставил, но запустив whois на всех них, я пришел к выводу, что это прокси-серверы socks5. Я даже нашел сайт, где он их получает (sockslist.net).

Могу ли я как-то отследить его через прокси, чтобы я мог получить его реальный IP-адрес и сообщить об этом своему провайдеру?

Кроме того, мой друг сказал мне, что злоумышленник может использовать VPN для защиты, поэтому я хотел бы знать, есть ли способ отслеживания соединения также через VPN.

Answer 1

Я думаю, что посты выше выдвигают на первый план действительные пункты. Вам вряд ли удастся что-либо найти с помощью этих трассировок, и даже если вы это сделаете, вы вряд ли сможете что-либо сделать с этим.

Более активная вещь, которую нужно сделать, - это найти способы остановить это и обеспечить безопасность ваших ящиков.

В среде, в которой я работаю, было правило, гласящее, что если мы подверглись нападению (в данном случае это было 10 или более попыток в час), мы должны были сообщить об этом. Это означало, что мы подавали сотни отчетов в неделю из-за большого количества людей, сканирующих нашу сеть. Мы обсудили и решили отказаться от отчетности, поскольку мы были настолько уверены, насколько это возможно, что наши системы были безопасны и просто должны были принять то, что нас будут сканировать / пытаться выполнить.

Answer 2

Для HTTP некоторые прокси-серверы добавляют специальный HTTP-заголовок, например X-Forwarded-For, для указания исходного IP-адреса. Если он присутствует, то его значение следует использовать с осторожностью, так как можно легко добавить поддельный заголовок и заставить его ссылаться на невинного человека.

Такой заголовок не поможет вам при работе с FTP (который не имеет понятия заголовков HTTP), но, возможно, тот же IP-адрес прокси-сервера присутствует в журналах вашего веб-сервера примерно в одно и то же время. Если это так, то вам все равно нужно заставить свой веб-сервер записывать заголовки в журнал или хотя бы этот специальный заголовок.

Answer 3

Как предполагает Кип, вероятно, лучший способ пойти дальше - это просто принять сканирование и использовать iptables для сброса соединений наиболее атакующих ips или использовать модули iptables для сброса пакетов syn, если соединения с одного ip приходят слишком быстро. Я полагаю, что скорость соединения довольно высока, поэтому установка правила iptables для защиты от атак злоумышленников должна быть легкой.

Кроме того, если вы используете proftpd, вы можете использовать mod_delay, чтобы злоумышленнику было сложнее / медленнее сканировать вас на наличие хороших имен пользователей.

Answer 4

Единственный способ отследить что-либо через прокси /VPN - это получить доступ к журналам, которые ведет этот прокси, обычно связываясь с владельцем, давая ему время и IP-адрес, к которому был получен доступ (остерегаясь часовых поясов), и прося их найти кто был связан с вами в то время. Некоторые законные провайдеры помогут вам с серьезной деятельностью, большинство прокси /VPN находятся на корневых машинах, поэтому никто не будет вести журналы.

Большинство FTP-серверов позволяют вам блокировать кого-либо после нескольких неудачных попыток входа в систему, вы также можете сделать это с вашего брандмауэра, в зависимости от конфигурации. Вероятность того, что вы отследите это кому-либо, почти равна нулю, все, что вы можете сделать, это проверить, что ваш компьютер не был взломан, убедиться, что ваши пароли надежны, и настроить свой сервер для блокировки злоумышленников.

Answer 5

Если они являются серверами SOCKS5, вероятно, не будет никаких внешних отпечатков пальцев, которые вы можете найти в активности FTP, которая поступает на ваш FTP-сервер. (Другие протоколы, такие как SMTP, имеют пару ключей). Другими словами, соединение через прокси SOCKS5 строго подчиняется принципу "прозрачности".

(Могут быть очень маленькие подсказки уровня TCP, которые зависят от поставщика, но это маловероятно).

Откуда вы знаете, что они являются серверами SOCKS5? (Можете ли вы подключиться к серверам с помощью клиента, поддерживающего SOCKS5?). Если они требуют аутентификации, то вы должны иметь возможность работать с администратором прокси. Если вы не можете, вы можете запретить трафик с этого IP-адреса.

То же самое можно сказать и о VPN, потому что у них часто есть логирование.

Однако самый важный вопрос - это природа подозреваемого администратора прокси. Если они законны, вы можете работать с ними. (Как администраторы, они оба несут ответственность и опыт, чтобы помочь вам). Я нахожу описание проблемы необычным, большинство людей подвергаются атакам через бот-сети, где источником трафика являются многие угнанные компьютеры. В этих случаях нет никакой административной контрагента (если это не единственная компания, полная зараженных рабочих столов Windows), которая могла бы вам помочь.