我们在工作中遇到了一些问题,直到我们发现我们几乎每天都受到攻击。攻击者看起来很聪明——起初他总是使用代理来隐藏他的 IP。通过扫描,我发现它们是 socks 5 代理。上周我们有 11 次攻击,每次我找到 IP 时,我都会用 nmap 扫描它。我发现所有 11 个不同的 ip 地址都是 RDP(端口 3389 打开,并接受 rdp 连接,我自己检查了所有这些)。
所以这里有以下问题: 1. 我们可以通过 socks5 代理追踪他的真实 IP 吗?2.如果他使用某个RDP服务器隐藏他的IP,我们可以追踪他吗?
请不要回答“呼叫代理服务器/RDP 的所有者......”等。我们已经尝试过了,但它没有用,这就是我在这里写的原因。
非常感谢。
获取此信息的唯一方法是检查您已经尝试过的代理日志。即使它确实有效,通常也没有要检查的日志。(我不确定 Windows是否有能力记录 RDP 连接。)
不幸的是,你不想听到的答案是我所知道的唯一答案——而且我很确定这也是唯一的答案。一些 HTTP 代理传递一个自定义 HTTP 标头,该标头给出了它们正在代理的机器的 IP 地址,但我不相信 SOCKS5 有任何这样的机制,并且使用 RDP 不可能有这样的机制,因为攻击者正在执行他/她的命令直接在他们 RDP 进入的机器上。
所以 - 简短的回答 - 不。