Eso no es correcto.
Primero tenga en cuenta que el datagrama HTTP 1.1 no contiene una dirección IP en absoluto; esa información está en el datagrama de la capa 3. El único campo en el encabezado HTTP 1.1 que está relacionado con el proxy es el encabezado de autenticación, que indica si el proxy requiere un inicio de sesión.
SOCKS se produce en la capa 5 (debajo de HTTP, pero por encima de IP) e implica la creación de un par de circuitos entre el origen y el destino, por lo que no solo pasa los datagramas que recibe; los vuelve a encapsular por completo desde las capas 5 e inferiores, de modo que el servidor receptor ni siquiera sabe en la capa 5 que el cliente está usando un proxy SOCKS. ese encabezado se eliminó en tránsito, y la carga útil de la capa 7 se colocó en nuevos segmentos de transporte y en un nuevo paquete antes de enviarse al destino remoto.
Es posible determinar si se utilizaron proxies conocidos en una comunicación basada en bases de datos de direcciones IP para proxies conocidos, pero no debería haber evidencia explícita en los datagramas pasados entre el proxy y el destino.
Es importante tener en cuenta que el resultado final de la proxificación varía según el adversario. Los estados nacionales con infraestructura que puede ver grandes extensiones de la web probablemente podrán saber quién es usted, y sus capacidades están mucho más allá del alcance de estos foros.