У нас были некоторые проблемы на работе, пока мы не обнаружили, что на нас нападают почти каждый день. Злоумышленник выглядит довольно умным - сначала он всегда использовал прокси, чтобы скрыть свой IP. При сканировании обнаружил, что это прокси socks 5. На прошлой неделе у нас было 11 атак, и каждый раз, когда я находил ip, я сканировал его с помощью nmap. Я обнаружил, что ВСЕ из 11 различных IP-адресов были RDP (порт 3389 открыт и принимает соединения rdp, проверено мной на ВСЕХ из них).
Итак, вот ответы на следующие вопросы: 1. Можем ли мы отследить его реальный IP-адрес через прокси-сервер socks5? 2. Можем ли мы отследить его, если он использует какой-то сервер RDP, чтобы скрыть свой ip?
Пожалуйста, не отвечайте типа «Позвоните владельцу прокси-сервера / RDP ...» и т. Д. Мы уже пробовали это, и это не сработало, поэтому пишу здесь.
Большое спасибо.
К сожалению, ответ, который вы не хотите слышать, - это единственный ответ, который я знаю, и я почти уверен, что это единственный ответ. Некоторые HTTP-прокси передают настраиваемый HTTP-заголовок, который дает IP-адрес машины, для которой они проксируются, но я не верю, что SOCKS5 имеет какой-либо такой механизм, а с RDP не может быть такого механизма, потому что злоумышленник выполняет его / ее команды прямо на машине, к которой они подключены по протоколу RDP.
Итак - короткий ответ - НЕТ.
Единственный способ получить эту информацию - проверить журналы прокси, которые вы уже пробовали. Даже если это работает, часто нет журналов для проверки. (Я даже не уверен, что Windows имеет возможность регистрировать RDP-соединения.)