Вы не с того конца пытаетесь на проблему смотреть.
Если кто-то и будет заинтересован в вашем деаноне - так только "товарищ майор". У которого есть доступ к любым логам внутри рф. Это значит, что написав "вовка-дурак" во вконтактике через свой впн - вы, нежиданно так, оставите адрес своего ВПН!
А дальше будут посмотреть, что еще на этом адресе. И рядом.
У провайдера вполне конкретный блок адресов. Отбрасываем всю иностранщину - остается круг русскоговорящих подозреваемых. Дальше смотрим, кто нам в сети попал. Хоть статистическим анализом текстов, хоть сверяем по спискам неблагонадёжных. После этого сверяем логи по времени активности у провайдера, и времени появления этого "вовка-дурак". Благо вы реалнейм где-то оставили, а это как ключи от квартиры положить.
Вопрос только в том, будет ли отмашка "ловить и сажать". Сам процесс поиска не особо сложный. Все палятся на мелочах.
попробую еще раз.
домен Х, впс. Он же "зацепка".
домен У (1-100), сайт с реалнеймом. Их несколько, но айпи каждого известен.
Нам нужно найти, с какого российского айпишника заходили на пул провайдера, где есть Х, во время написания "вовка- дурак". И сопоставить со списком заходивших в любое другое время на один из Y. Логи провайдеров по заходам на все Y доступны. Дальше - поиск с перебором.
Если совпадения нет - ну, не сложилось. Если совпадение по нашему списку Y есть - роем глубже.
т.е. мы ищем общий начальный айпишник, у себя в рф, по логам запросов у провайдера.
Логи хостера считаем недоступными. С ними было бы быстрее, но и без них вся информация есть "на стороне рф", только парсить долго.
Вот это "и рядом" как определяется если есть только один адрес?
В случае с товарищем майором лучше юзать впн-сервис аля mullvad, у которого адреса часто разные и на кучу человеков сразу. Тогда трищу майору придется только к самому mullvad'у стучаться.