Proxy sunucusu ve / veya VPN ile nasıl bağlantı kurabilirim?

Birisi sürekli ftp sunucularıma saldırıyor. Bıraktığı IP'leri gözlemledim, ama whoishepsine koşarak , onların çorap5 proxy sunucusu oldukları sonucuna vardım. Hatta onları aldığı yeri bile buldum (sockslist.net).

Bir şekilde onu proxy üzerinden izleyebilir miyim, böylece gerçek IP adresini alıp ISP'sine bildirebilir miyim?

Ayrıca, bir arkadaşım bana saldırganın koruma için bir VPN kullandığını söyledi, bu yüzden de bir VPN üzerinden bağlantıyı izlemenin bir yolu olup olmadığını bilmek istiyorum.

Yukarıdaki yazıların geçerli noktaları vurguladığını düşünüyorum. Bunların izini sürecek bir yere sahip olmanız pek mümkün değildir ve bunu yapsanız bile, hiçbir şey yapamayacaksınız.

Yapılacak daha proaktif şey, bunun olmasını engellemenin yollarını bulmak ve kutularınızın güvenli olmasını sağlamaktır.

Çalıştığım ortamın, saldırıya devam edersek (bu durumda bir saatte 10 ya da daha fazla girişim olarak tanımlanırsa), bildirmemiz gerektiğini söyleyen bir kuralı vardı. Bu, ağımızı tarayan çok sayıda insan nedeniyle haftada yüzlerce rapor bulunduğumuzu gösteriyordu. Raporlama tarafını, sistemlerimizin güvende olduğu ve taranacağımızı / deneneceğimizi kabul etmek zorunda olabileceğimizden emin olduğumuz gibi bırakmaya karar verdik.

HTTP için, bazı vekiller gibi bazı özel HTTP başlığı eklemek X-Forwarded-For orijinal IP adresi belirlemek için,. Eğer varsa, o zaman değeri titizlikle kullanılmalıdır çünkü kişi kolayca sahte bir başlık ekleyebilir ve bazı masum insanlara atıfta bulunabilir.

Bu tür bir başlık FTP ile (HTTP başlıkları kavramına sahip değildir) uğraşırken size yardımcı olmaz, ancak belki aynı proxy IP adresi web sunucunuzda da aynı saatlerde kayıtlıdır. Öyleyse, web sunucunuzun başlıkları günlüğe veya en azından bu özel başlığa yazmasını sağlamanız gerekir.

Proxy / VPN aracılığıyla bir şeyi izlemenin tek yolu, proxy tarafından tutulan günlüklere, normal olarak sahibiyle iletişim kurarak, onlara erişilen bir zaman ve IP vererek (zaman dilimleri konusunda dikkatli olun) ve bulmalarını istemek o zaman seninle kim bağlantıda kaldı. Bazı meşru sağlayıcılar, ciddi faaliyetler için vekillerin / VPN'lerin çoğunun köklü makinelerde bulunmasına yardımcı olacak, böylece hiç kimse kayıt tutmayacak.

Çoğu FTP sunucusu, birkaç başarısız giriş denemesinden sonra birini engellemenize izin verir; yapılandırmaya bağlı olarak, aynı şeyi güvenlik duvarınızdan da yapabilirsiniz. Bunu birisine geri izleme ihtimaliniz neredeyse sıfır, yapabileceğiniz tek şey makinenizin tehlikeye atılmadığını kontrol etmek, şifrelerinizin güvenli olduğundan emin olmak ve saldırganları engellemek için sunucunuzu ayarlamak.

SOCKS5 sunucuları ise, muhtemelen FTP sunucunuza gelen FTP etkinliğinde bulabileceğiniz herhangi bir harici parmak izi olmayacaktır. (SMTP gibi diğer protokoller birkaç ipucuna sahiptir). Başka bir deyişle, bir SOCKS5 proxy bağlantısı, "şeffaflık" ilkesine kesinlikle uymaktadır.

(Satıcıya özgü çok küçük, TCP düzeyinde ipuçları olabilir, ancak bu olası değildir).

SOCKS5 sunucuları olduklarını nereden biliyorsunuz? (SOCKS5'i destekleyen bir müşteriyle sunuculara bağlanabiliyor musunuz?). Kimlik doğrulaması gerektiriyorsa, proxy yöneticisi ile çalışabilmelisiniz. Bunu yapamazsanız, bu IP adresinden gelen trafiği yasaklayabilirsiniz.

Aynı şey VPN için de söylenebilir çünkü çoğu zaman girişleri de vardır.

Ancak, en önemli soru şüpheli vekil yöneticisinin niteliğidir. Eğer meşrularsa onlarla çalışabilirsiniz. (Yöneticiler olarak, size yardımcı olmak için her ikisi de sorumluluk ve uzmanlığa sahiptir). Sorunun tanımının alışılmadık olmadığını biliyorum, çoğu insan botnet'ler tarafından saldırıya uğradı, bu sayede kaçırılan birçok bilgisayar trafiğin kaynağı. Bu durumlarda, size yardımcı olabilecek hiçbir idari karşı taraf yoktur (virüslü Windows masaüstleriyle dolu tek bir şirket olmadığı sürece).

Kip'in önerdiği gibi, muhtemelen en iyi yol, taranmakta olduğunuzu kabul etmektir ve en çok saldıran IP'lerin bağlantılarını kesmek için iptables kullanın veya bir ipten bağlantılar çok hızlı gelirse, syn paketlerini bırakmak için iptables modüllerini kullanın. Bağlantı oranlarının oldukça yüksek olduğunu düşünüyorum, meşru kullanıcıları rahatsız etmeden bu saldırganları uzak tutmak için bir iptables kuralı oluşturmak çok kolay olmalı.

Ek olarak, proftpd kullanıyorsanız , saldırganın sizi iyi kullanıcı adları için taramasını zorlaştırıp yavaşlatmak için mod_delay kullanabilirsiniz .