プロキシサーバーやVPNを介して接続を追跡するにはどうすればよいですか？

上記の投稿は有効なポイントを強調していると思います。これらのトレースでどこにでも到達する可能性は非常に低く、たとえそうしても、それについて何も実行できない可能性があります。

より積極的に行うことは、それが起こらないようにする方法を見つけ、ボックスが安全であることを確認することです。

私が働いている環境には、攻撃が持続した場合（この場合、1時間に10回以上の試行として定義されます）、報告する必要があるというルールがありました。これは、大量の人々が私たちのネットワークをスキャンしているため、週に何百ものレポートを提出していたことを意味しました。システムが安全であり、スキャン/試行されることを受け入れる必要があると確信していたため、レポート側を削除することを検討し、削除することにしました。

HTTPの場合、someプロキシは、元のIPアドレスを指定するために X-Forwarded-For などの特別なHTTPヘッダーを追加します。存在する場合は、偽のヘッダーを簡単に追加して無実の人物を参照させることができるため、その値は注意して使用する必要があります。

このようなヘッダーは、FTP（HTTPヘッダーの概念がない）を処理する場合には役立ちませんが、同じプロキシIPアドレスがほぼ同時にWebサーバーログにある可能性があります。その場合でも、Webサーバーにヘッダーをログに書き込むようにするか、少なくともこの特別なヘッダーを書き込む必要があります。

Kipが示唆しているように、おそらく最善の方法は、スキャンされていることを受け入れ、iptablesを使用して最も攻撃的なIPの接続をドロップするか、1つのIPからの接続が速すぎる場合はiptablesモジュールを使用してsynパッケージをドロップすることです。接続率はかなり高いと思うので、正当なユーザーの邪魔をせずに攻撃者を遠ざけるiptablesルールを設定するのは簡単なはずです。

さらに、proftpdを使用している場合は、 mod_delay を使用して、攻撃者が適切なユーザー名をスキャンするのを困難/低速にすることができます。

プロキシ/ VPNを介して何かを追跡する唯一の方法は、通常は所有者に連絡し、アクセスされた時間とIPを提供し（タイムゾーンに注意）、そのプロキシが保持するログにアクセスすることです。その時に誰があなたとつながっていたのか。一部の正当なプロバイダーは、深刻な活動の場合、ほとんどのプロキシ/ VPNがルート化されたマシン上にあるため、誰もログを保持しないように支援します。

ほとんどのFTPサーバーでは、ログインに何度も失敗した後、誰かをブロックできます。構成によっては、ファイアウォールから同じことを実行できる場合もあります。これを誰かにさかのぼる確率はほぼゼロです。できることは、マシンが危険にさらされていないことを確認し、パスワードが安全であることを確認し、攻撃者をブロックするようにサーバーを設定することだけです。

それらがSOCKS5サーバーである場合、FTPサーバーに送信されるFTPアクティビティで見つけることができる外部フィンガープリントはおそらくありません。 （SMTPのような他のプロトコルにはいくつかの手がかりがあります）。言い換えると、SOCKS5プロキシ接続は、「透明性」の原則に厳密に従います。

（ベンダー固有の非常に小さなTCPレベルの手がかりがある可能性がありますが、これはありそうにありません）。

それらがSOCKS5サーバーであることをどうやって知っていますか？ （SOCKS5をサポートするクライアントでサーバーに接続できますか？）認証が必要な場合は、プロキシの管理者と協力できるはずです。できない場合は、そのIPアドレスからのトラフィックを禁止できます。

VPNについても同じことが言えます。これは、VPNにもロギングがあることが多いためです。

ただし、最も重要な質問は、疑わしいプロキシの管理者の性質です。彼らが合法であるならば、あなたは彼らと一緒に働くことができます。 （管理者として、彼らは両方ともあなたを助ける責任と専門知識を持っています）。問題の説明は珍しいと思います。ほとんどの人はボットネットを介して攻撃されており、ハイジャックされた多くのコンピューターがトラフィックの発信元です。そのような場合、あなたを助けることができる管理上のカウンターパーティはありません（感染したWindowsデスクトップでいっぱいの単一の会社でない限り）。