Можно пытаться угадывать, что пользователь выходит не из домашней сети и не из сети какой-то организации, а с сервера у какого-то хостера, используя какие-либо знания о сетях хостеров и провайдеров, но надёжно и во всех случаях это сделать всё равно не получится. Что касается определения факта "непрямого" доступа, если пользователь не использует прокси, которые сами явно и открыто "светят" реальные IP пользователя и всех промежуточных прокси в заголовке X-Forwarded-For, то и поймать его на этом нельзя.
Цепочки разнообразных хостов используют из соображения, что давлением правоохранителей на многих разнообразных хостеров (тем более в разных странах) вряд ли можно быстро получить доступ к данным, которые бы помогли бы идентифицировать пользователя. Но это не значит, что нельзя попасться, впрочем, чаще всего и попадаются совсем не на этом. Типичный пример - когда разыскиваемому пользователю отправляют письмо, содержащее уникальную ссылку на картинку, запрос к которой попадёт в логи с реальным IP.
