我们在工作中遇到了一些问题,直到我们发现我们几乎每天都受到攻击。攻击者似乎很聪明——起初他总是使用代理来隐藏他的 IP。通过扫描,我发现它们是 socks 5 代理。上周我们遭受了 11 次攻击,每次我找到 IP 时,我都会用 nmap 进行扫描。我发现所有 11 个不同的 IP 地址都是 RDP(端口 3389 开放,并接受 rdp 连接,我自己检查了所有 IP 地址)。
因此,以下是问题:1. 我们可以通过 socks5 代理追踪他的真实 IP 吗?2. 如果他使用某个 RDP 服务器来隐藏他的 IP,我们能追踪到他吗?
请不要回答“致电代理服务器/RDP 的所有者...”等。我们已经尝试过了,但没有用,这就是我在这里写的原因。
非常感谢。
答案1
获取此信息的唯一方法是检查代理的日志,您已经尝试过。即使它确实有效,通常也没有日志可检查。(我不确定 Windows 甚至有记录 RDP 连接的能力。
答案2
不幸的是,你不想听到的答案是我所知道的唯一答案——而且我非常肯定这也是唯一的答案。一些 HTTP 代理会传递自定义 HTTP 标头,该标头会提供它们正在代理的计算机的 IP 地址,但我不相信 SOCKS5 有任何此类机制,而使用 RDP 则不可能有这样的机制,因为攻击者会直接在他们通过 RDP 连接的计算机上执行他/她的命令。
所以,简短的回答是,不。