IP über einen socks5-Proxy + RDP verfolgen?

2

Wir hatten einige Probleme bei der Arbeit, bis wir feststellten, dass wir fast jeden Tag angegriffen werden. Der Angreifer scheint ziemlich schlau zu sein - zuerst benutzte er immer einen Proxy, um seine IP zu verbergen. Beim Scannen stellte ich fest, dass es sich um Socken 5 Proxy handelte. Die letzte Woche hatten wir 11 Angriffe und jedes Mal, wenn ich die IP fand, habe ich sie mit nmap gescannt. Ich fand heraus, dass ALLE der 11 verschiedenen IP-Adressen RDP waren (Port 3389 ist offen und ich akzeptiere RDP-Verbindungen, die von mir auf ALLEN geprüft wurden).

Also hier folgen die Fragen: 1. Können wir seine wahre IP über einen socks5-Proxy zurückverfolgen? 2. Können wir ihn verfolgen, wenn er einen RDP-Server verwendet, um seine IP zu verbergen?

Bitte antworten Sie nicht wie "Rufen Sie den Besitzer des Proxy-Servers / RDP an ..." usw. Wir haben es bereits versucht und es hat nicht funktioniert, deshalb schreibe ich hier.

Vielen Dank.


quelle

Antworten:

1

Die einzige Möglichkeit, diese Informationen abzurufen, besteht darin, die Protokolle des Proxys zu überprüfen, die Sie bereits ausprobiert haben. Auch wenn es funktioniert, gibt es oft keine Protokolle zu überprüfen. (Ich bin nicht sicher , dass Windows - selbst hat die Möglichkeit , RDP - Verbindungen zu protokollieren.)

Grawity
quelle
1

Leider ist die Antwort, die Sie nicht hören möchten, die einzige mir bekannte Antwort - und ich bin mir ziemlich sicher, dass es auch die einzige Antwort ist. Einige HTTP-Proxys leiten einen benutzerdefinierten HTTP-Header weiter, der die IP-Adresse des Computers angibt, für den sie proxysetzen. Ich glaube jedoch nicht, dass SOCKS5 über einen solchen Mechanismus verfügt, und bei RDP kann es keinen solchen Mechanismus geben, da der Angreifer ausführt Seine Befehle befinden sich direkt auf dem Computer, auf dem sie RDP ausführen.

Also - kurze Antwort - NEIN.

Bart B
quelle