Bonjour à tous,
J'explique un peu le sujet :
J'ai mon firewall (via ses IPS) qui bloque régulièrement des attaques ou scan vers mes serveurs exposés.
Je reçois donc un joli mail d'avertissement qui me précise l'adresse ip de mon "agresseur".  
La plus part du temps je me dis que le firewall a bien bossé, donc que je suis content et je m'arrête là.
Mais parfois, quand je vois qu'il y a un peu d'acharnement, j'essaye d'en savoir un peu plus sur mon copain en faisant les traditionnels recherches de provenance de l'ip via les whois etc.
 
La question, c'est que faire du résultat du whois ? Comment savoir si il est passé par un VPN ou si c'est bien son FAI que je vois ? Mon but n'est pas de remonter jusqu'à lui a tout prix, mais de savoir un peu ce que j'ai en face.
 
Si vous avez des infos sur ce que je peux tester, je suis preneur.
 
Merci d'avance pour votre aide.

tu peux pas savoir. En général les attaques sont en provenance de botnets.

Tu ne peux pas savoir sans utiliser des techniques un peu limite

C'est bien ce que je pensais ...
Merci pour vos réponses.

Sans rentrer dans les détails, c'est quoi les techniques un peu limite ?

J'avais lu un truc sur une faille dans WebRTC sous chrome et mozilla, qui permettait grâce à un petit script en java de récupérer IP wan et lan

Oui, j'ai vu ça aussi. Mais si le VPN est bien foutu tu n'auras pas les infos.
Korben l'explique mieux que moi : http://korben.info/proteger-faille-webrtc.html