web-dev-qa-db-ja.com

プロキシサーバーやVPNを介して接続を追跡するにはどうすればよいですか?

誰かが私のftpサーバーを継続的に攻撃しています。彼が残したIPを観察しましたが、すべてでwhoisを実行しているため、それらはsocks5プロキシサーバーであると結論付けました。彼がそれらを入手しているサイト(sockslist.net)さえ見つけました。

彼の実際のIPアドレスを取得してISPに報告できるように、どういうわけかプロキシを介して彼を追跡できますか?

また、私の友人は、攻撃者が保護のためにVPNを使用している可能性があると言ったので、VPNを介して接続を追跡する方法もあるかどうかを知りたいです。

2
user5188

上記の投稿は有効なポイントを強調していると思います。これらのトレースでどこにでも到達する可能性は非常に低く、たとえそうしても、それについて何も実行できない可能性があります。

より積極的に行うことは、それが起こらないようにする方法を見つけ、ボックスが安全であることを確認することです。

私が働いている環境には、攻撃が持続した場合(この場合、1時間に10回以上の試行として定義されます)、報告する必要があるというルールがありました。これは、大量の人々が私たちのネットワークをスキャンしているため、週に何百ものレポートを提出していたことを意味しました。システムが安全であり、スキャン/試行されることを受け入れる必要があると確信していたため、レポート側を削除することを検討し、削除することにしました。

1
Kip

HTTPの場合、someプロキシは、元のIPアドレスを指定するために X-Forwarded-For などの特別なHTTPヘッダーを追加します。存在する場合は、偽のヘッダーを簡単に追加して無実の人物を参照させることができるため、その値は注意して使用する必要があります。

このようなヘッダーは、FTP(HTTPヘッダーの概念がない)を処理する場合には役立ちませんが、同じプロキシIPアドレスがほぼ同時にWebサーバーログにある可能性があります。その場合でも、Webサーバーにヘッダーをログに書き込むようにするか、少なくともこの特別なヘッダーを書き込む必要があります。

1
Arjan

Kipが示唆しているように、おそらく最善の方法は、スキャンされていることを受け入れ、iptablesを使用して最も攻撃的なIPの接続をドロップするか、1つのIPからの接続が速すぎる場合はiptablesモジュールを使用してsynパッケージをドロップすることです。接続率はかなり高いと思うので、正当なユーザーの邪魔をせずに攻撃者を遠ざけるiptablesルールを設定するのは簡単なはずです。

さらに、proftpdを使用している場合は、 mod_delay を使用して、攻撃者が適切なユーザー名をスキャンするのを困難/低速にすることができます。

0
hurikhan77

プロキシ/ VPNを介して何かを追跡する唯一の方法は、通常は所有者に連絡し、アクセスされた時間とIPを提供し(タイムゾーンに注意)、そのプロキシが保持するログにアクセスすることです。その時に誰があなたとつながっていたのか。一部の正当なプロバイダーは、深刻な活動の場合、ほとんどのプロキシ/ VPNがルート化されたマシン上にあるため、誰もログを保持しないように支援します。

ほとんどのFTPサーバーでは、ログインに何度も失敗した後、誰かをブロックできます。構成によっては、ファイアウォールから同じことを実行できる場合もあります。これを誰かにさかのぼる確率はほぼゼロです。できることは、マシンが危険にさらされていないことを確認し、パスワードが安全であることを確認し、攻撃者をブロックするようにサーバーを設定することだけです。

0
Dentrasi

それらがSOCKS5サーバーである場合、FTPサーバーに送信されるFTPアクティビティで見つけることができる外部フィンガープリントはおそらくありません。 (SMTPのような他のプロトコルにはいくつかの手がかりがあります)。言い換えると、SOCKS5プロキシ接続は、「透明性」の原則に厳密に従います。

(ベンダー固有の非常に小さなTCPレベルの手がかりがある可能性がありますが、これはありそうにありません)。

それらがSOCKS5サーバーであることをどうやって知っていますか? (SOCKS5をサポートするクライアントでサーバーに接続できますか?)認証が必要な場合は、プロキシの管理者と協力できるはずです。できない場合は、そのIPアドレスからのトラフィックを禁止できます。

VPNについても同じことが言えます。これは、VPNにもロギングがあることが多いためです。

ただし、最も重要な質問は、疑わしいプロキシの管理者の性質です。彼らが合法であるならば、あなたは彼らと一緒に働くことができます。 (管理者として、彼らは両方ともあなたを助ける責任と専門知識を持っています)。問題の説明は珍しいと思います。ほとんどの人はボットネットを介して攻撃されており、ハイジャックされた多くのコンピューターがトラフィックの発信元です。そのような場合、あなたを助けることができる管理上のカウンターパーティはありません(感染したWindowsデスクトップでいっぱいの単一の会社でない限り)。

0
benc