Как я могу проследить соединение через прокси-сервер и/или VPN?
Кто-то непрерывно нападает на мои FTP-серверы. Я наблюдал дюйм/с, которого он оставил, но выполнение whois на всех них я пришел к заключению, что они - socks5 прокси-серверы. Я даже нашел сайт, где он получает их (sockslist.net).
Я могу так или иначе проследить его через прокси, таким образом, я могу получить его реальный IP-адрес и сообщить об этом его ISP?
Кроме того, мой друг сказал мне, что взломщик мог бы использовать VPN для защиты, таким образом, я хотел бы знать, существует ли какой-либо способ проследить соединение через VPN, также.
5 ответов
Единственный способ проследить что-то через прокси/VPN состоит в том, чтобы получить доступ к журналам, сохраненным тем прокси, обычно путем контакта с владельцем, предоставления им времени и IP, к которому получили доступ (остерегаются часовых поясов), и просьба, чтобы они узнали, кто был подключен к Вам в то время. Некоторые законные поставщики помогут Вам с для серьезного действия, большинство proxies/VPNs находится на внедренных машинах, таким образом, никто не будет сохранять журналы.
Большинство FTP-серверов позволит Вам блокировать кого-то после многих неудавшихся попыток входа в систему, Вы могли бы также смочь сделать то же от своего брандмауэра, в зависимости от конфигурации. Разногласия Вас прослеживающий это до кого-то являются почти нулем, все, что можно сделать, проверить, что машина не была поставлена под угрозу, удостоверьтесь, что пароли безопасны, и настраивают сервер для блокирования взломщиков.
Если они будут серверами SOCKS5, то вероятно, не будет никаких внешних цифровых отпечатков, которые можно найти в действии FTP, которое прибывает в FTP-сервер. (Другие протоколы как SMTP имеют пару подсказок). Другими словами, SOCKS5 проксировал соединение, строго повинуется принципу "прозрачности".
(Могли быть очень маленькие подсказки уровня TCP, которые являются конкретным поставщиком, но это маловероятно).
Как Вы знаете, что они - серверы SOCKS5? (Могут Вы для соединения с серверами с клиентом той поддержки SOCKS5?). Если они требуют аутентификации, то необходимо смочь работать с администратором прокси. Если Вы не можете, Вы могли бы не пустить трафик в тот IP-адрес.
То же могло быть сказано относительно VPN, потому что у них часто есть вход также.
Однако самым важным вопросом является природа администратора подозреваемого прокси. Если они законны, можно работать с ними. (Как администраторы, они оба несут ответственность и экспертные знания для выручения Вас). Я нахожу, что описание проблемы необычно, большинство людей подвергается нападению с помощью ботнетов, где много угнанных компьютеров являются источником трафика. В тех случаях нет никакого административного контрагента (если это не единственная компания, полная зараженных рабочих столов Windows), который может помочь Вам.
Я думаю, что сообщения выше выделяют актуальные вопросы. Вы очень вряд ли доберетесь где угодно с трассировкой их, и даже если Вы сделаете, то Вы вряд ли сможете получить что-либо делавшее с этим.
Более превентивная вещь сделать состоит в том, чтобы найти способы остановить его случай и гарантировать, что Ваши поля безопасны.
Среда, в которой я работаю, имела правило, в котором было сказано, выдержали ли мы подвергшийся нападению (поддержанный в этом экземпляре, определенном как 10 или больше попыток за час), мы должны были сообщить об этом. Это означало, что мы были жильем сотни отчетов в неделю из-за большого количества людей, сканирующих нашу сеть. Мы обсудили и решили отбросить сторону создания отчетов его, когда мы были так уверены, как мог быть то, что наши системы были защищенными и просто должны были признать, что мы будем просканированы / предпринятый.
Для HTTP некоторые прокси добавляют некоторый специальный HTTP-заголовок, как X-Forwarded-For для определения исходного IP-адреса. Если существующий, то его значение должно использоваться с осторожностью, поскольку можно легко добавить поддельный заголовок и заставить ее относиться к некоторому невинному человеку.
Такой заголовок не поможет Вам при контакте с FTP (который не имеет понятия HTTP-заголовков), но возможно тот же IP-адрес прокси находится в журналах веб-сервера приблизительно в то же время. Если так, затем все еще необходимо заставить веб-сервер записать заголовки в журнал или по крайней мере этот специальный заголовок.
Поскольку Кипы предполагают, вероятно, что лучший способ пойти только с принимает Ваш, сканируются и используют iptables, чтобы отбросить соединения большей части дюйм/с нападения или использовать iptables модули для отбрасывания syn пакетов, если соединения от одного IP входят слишком быстро. Я предполагаю, что скорости передачи соединения довольно высоко так настраивают правило iptables, держащее тех взломщиков отдельно, не тревожа законных пользователей, должно быть легким.
Дополнительно при использовании proftpd, Вы могли бы использовать mod_delay для создания его тяжелее/медленнее, чтобы взломщик просканировал Вас для хороших имен пользователей.