有人不断攻击我的 ftp 服务器。我观察了他留下的 IP,但whois在所有 IP 上运行后,我得出结论,它们是 socks5 代理服务器。我甚至找到了他获取这些服务器的网站 (sockslist.net)。
我能否以某种方式通过代理追踪他,以便获取他的真实 IP 地址并将其报告给他的 ISP?
此外,我的一个朋友告诉我攻击者可能正在使用 VPN 进行保护,因此我想知道是否有任何方法可以通过 VPN 追踪连接。
答案1
我认为上述帖子强调了有效的观点。你不太可能通过追踪这些来取得任何进展,即使你这样做了,你也不太可能对此采取任何行动。
更积极主动的做法是找到方法来阻止这种情况发生并确保您的箱子是安全的。
我工作的环境有一条规则,规定如果我们遭受持续攻击(此处的持续攻击定义为一小时内遭受 10 次或以上攻击),我们必须报告。这意味着,由于有大量人员扫描我们的网络,我们每周要提交数百份报告。我们讨论后决定放弃报告,因为我们非常有信心我们的系统是安全的,只能接受我们会被扫描/尝试。
答案2
对于 HTTP,一些代理添加一些特殊的 HTTP 标头,例如X-转发,用于指定原始 IP 地址。如果存在,则应谨慎使用其值,因为可以轻松添加虚假标头并使其指向某些无辜者。
此类标头在处理 FTP(没有 HTTP 标头的概念)时不会对您有所帮助,但也许相同的代理 IP 地址在大约同一时间出现在您的 Web 服务器日志中。如果是这样,那么您仍然需要让您的 Web 服务器将标头写入日志,或者至少写入此特殊标头。
答案3
通过代理/VPN 追踪某些内容的唯一方法是访问代理保存的日志,通常是联系所有者,告诉他们访问的时间和 IP(注意时区),并要求他们找出当时谁连接到了您。一些合法提供商会帮助您,但对于严重的活动,大多数代理/VPN 都位于 root 机器上,因此没有人会保留日志。
大多数 FTP 服务器都允许您在多次登录尝试失败后阻止某人,根据配置,您也可以从防火墙执行相同操作。您追踪到某人的可能性几乎为零,您所能做的就是检查您的机器是否被盗用,确保您的密码安全,并设置您的服务器以阻止攻击者。
答案4
正如 Kip 所建议的,最好的办法可能是接受您正在被扫描的事实,并使用 iptables 删除最具攻击性的 ip 的连接,或者如果来自某个 ip 的连接速度太快,则使用 iptables 模块删除 syn 包。我认为连接速率相当高,因此设置 iptables 规则以阻止这些攻击者而不干扰合法用户应该很容易。
此外,如果您使用 proftpd,您可以使用mod_delay使攻击者更难/更慢地扫描您的好用户名。