Вы не с того конца пытаетесь на проблему смотреть.
Если кто-то и будет заинтересован в вашем деаноне - так только "товарищ майор". У которого есть доступ к любым логам внутри рф. Это значит, что написав "вовка-дурак" во вконтактике через свой впн - вы, нежиданно так, оставите адрес своего ВПН!
А дальше будут посмотреть, что еще на этом адресе. И рядом.
У провайдера вполне конкретный блок адресов. Отбрасываем всю иностранщину - остается круг русскоговорящих подозреваемых. Дальше смотрим, кто нам в сети попал. Хоть статистическим анализом текстов, хоть сверяем по спискам неблагонадёжных. После этого сверяем логи по времени активности у провайдера, и времени появления этого "вовка-дурак". Благо вы реалнейм где-то оставили, а это как ключи от квартиры положить.
Вопрос только в том, будет ли отмашка "ловить и сажать". Сам процесс поиска не особо сложный. Все палятся на мелочах.
попробую еще раз.
домен Х, впс. Он же "зацепка".
домен У (1-100), сайт с реалнеймом. Их несколько, но айпи каждого известен.
Нам нужно найти, с какого российского айпишника заходили на пул провайдера, где есть Х, во время написания "вовка- дурак". И сопоставить со списком заходивших в любое другое время на один из Y. Логи провайдеров по заходам на все Y доступны. Дальше - поиск с перебором.
Если совпадения нет - ну, не сложилось. Если совпадение по нашему списку Y есть - роем глубже.
т.е. мы ищем общий начальный айпишник, у себя в рф, по логам запросов у провайдера.
Логи хостера считаем недоступными. С ними было бы быстрее, но и без них вся информация есть "на стороне рф", только парсить долго.
Есть домен Х, который смотрит на IP A, есть VPN , который ходит через IP B на той же машине.
Как зная только домен X вычислить его связь с IP B ?