cdn背後的網站真實IP

CDN 的全稱是Content Delivery Network（內容分發網絡），通過在網絡各處的加速節點伺服器來為網站抵擋惡意流量，把正常流量進行轉發。用簡單點的話來說，CDN一般有三個作用

    1. 跨運營商加速：我們自己的網站常常只屬於一個運營商(比如：電信)，而加速節點遍布每家運營商，於是和網站不同運營商（比如：聯通）的用戶訪問起來就不會那麼慢了。

    2. 緩存加速：很多的靜態資源以及一部分頁面更新都是比較慢的（比如首頁），這個時候CDN就會根據瀏覽器的max-age和last-modified值以及管理員的預設值來進行緩存，於是很多流量CDN節點就不會每次都來向網站請求，CDN節點可以直接自作主張地將命中的緩存內容返回。

    3. 惡意流量過濾：這是CDN非常重要的一個作用，也是很多網站會用CDN的原因，因為CDN能為我們抵擋攻擊大流量攻擊、普通的攻擊（比如注入等），只有正常流量才會轉發給網站。

CDN多是伴隨著雲防火牆來一起使用的，這些防火牆會過濾掉大部分惡意的攻擊流量，所以cdn在有這種抵擋攻擊的作用。cdn在防禦拒絕服務攻擊的時候頗有建樹，正好我這裡有一個發生在我身邊的真實案例

之前買的一個資源合購類的站點就是這樣，因為侵犯被人利益，所以經常遭受拒絕服務攻擊，實在是不堪其擾後被迫使用了cdn，後來就再也沒有被D成功過。這個例子並不是說cdn一定能防住畢竟很多cdn節點流量並不大，可能自己本身就會被拒絕服務，只是說其在這方面有流量清洗的作用。

下面我們就來介紹一下如何獲取cdn背後的真實IP位址

直接traceroute 是得不到真實ip地址的

追尋真實IP的12個方法！

PS: 基本都是來源於網絡

 

一、利用cdn覆蓋邊界狹窄

1. ping域名而不帶主機名

    一般我們都ping www.hasee.com,而www主機名一定會被cdn保護（前提是企業使用cdn），而對於hasee.com這個域名卻不一定

可以看到我們很輕易就獲得了www.hasee.com的真實IP，此時我們最好來驗證一下是不是，我們直接用瀏覽器訪問這個ip

此時可以和www.hasee.com的網站對比一下，如果一致說明這個就是其真實ip

2.     採用國外DNS

      這個方法主要就是針對一些cdn 只對國內的ip部署了cdn，對於國外的ip並沒有部署，這樣就會得到真實IP。

這項其實對於網宿cdn是沒有意義的，因為它有海外的節點，下面列出一些海外dns伺服器（使用站長工具當然是可以的）

dighasee.com @198.153.192.1

198.153.192.1

198.153.194.1

208.67.222.123

208.67.220.123

64.6.64.6

64.6.65.6

8.26.56.26

8.20.247.20

77.88.8.8

80.80.80.80

84.200.70.40

199.85.126.10

8.26.56.26

156.154.70.1

156.154.71.1

208.67.222.222

208.67.220.220

165.87.13.129

165.87.201.244

205.171.3.65

205.171.2.65

198.41.0.4

198.41.0.4

198.32.64.12

192.33.4.12

192.203.230.10

192.5.5.241

192.112.36.4

192.36.148.17

192.58.128.30

192.9.9.3

193.0.14.129

128.9.0.107

128.8.10.90

66.33.206.206.

208.96.10.221

66.33.216.216

205.171.3.65

205.171.2.65

165.87.13.129

165.87.201.244

加拿大：

209.166.160.36

209.166.160.132

英國：

193.0.14.129

日本

202.12.27.33

202.216.228.18

韓國：

164.124.101.31

203.248.240.31

168.126.63.60

168.126.63.61

紐西蘭：

202.27.184.3

泰國：

209.166.160.132

202.44.8.34

202.44.8.2

印度：

202.138.103.100

202.138.96.2

3.  利用子域名

     網上很多都說是二級域名，如果大家看過我之前的文章就知道這是一個小錯誤，至少應該是三級域名，有的網站功能龐大甚至有四級域名，所以在這裡直接說是子域名

     這種方法的主要原理就是因為很多公司沒有必要為每一個子域名都使用cdn，而且子域名和主站使用同一個伺服器，此時就會導致真實IP洩漏

從之前的子域名收集來看，可以判斷IP位於219.133.3.0/24 這個網段

二、黑歷史

4.  DNS歷史解析記錄

     看過前任攻略1的都知道，前任有時候是很麻煩的存在著。當然這只是一個小的比喻，有一些網站可以查詢到DNS歷史解析記錄，可能在很多網站並未採用cdn時候的解析記錄就被記錄了下來，之後也並未更換伺服器，此時就能查詢到真實IP位址

             https://dnsdb.io/zh-cn/

https://x.threatbook.cn/

http://toolbar.netcraft.com/site_report?url=

http://viewdns.info/

http://site.ip138.com/ 

可以選擇較為久遠的ip，之後挨個測試一下

三、特定程序洩露

5.  phpinfo（不只是phpinfo，其實還有其他的一些）

     phpinfo中包含了太多的信息了，其中就有網站ip信息

  這個用 inurl:phpinfo.php 有很多，大家可以查看一下

6.  F5 LTM解碼法(這個方法我沒用過，只是在網上見到過)

     當伺服器使用F5 LTM做負載均衡時,通過對set-cookie關鍵字的解碼真實ip也可被獲取,』

     例如:Set-Cookie:BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小節的十進位數即487098378取出來,然後將其轉為十六進位數1d08880a,接著從後至前,以此取四位數出來,也就是0a.88.08.1d,最後依次把他們轉為十進位數10.136.8.29,也就是最後的真實ip。

 7.  HTML 頁面信息匹配

      採用FOFA搜尋引擎（https://fofa.so/）可以對html 進行匹配（shodan也能做到，就是費點勁），比如我們匹配標題，我們先來查看一下網站首頁的標題

之後我們去fofa搜索

從而獲得一個真實IP，我們可以訪問一下這個ip

可以看出這個並不是，可能只會一個節點或者反向代理什麼的。

四、反彈連接獲取真實IP

8.  圖片上傳（僅以圖片為例）

     很多網站程序（比如bbs）都有自定義頭像的功能，這個功能不止是可能存在文件上傳漏洞，還有可能洩漏網站的ip，當然就不只是圖片上傳了,還可能是視頻或者office等。洩漏的主要的一個途徑就是很多網站支持在線圖片，此時我們把圖片地址設為我們的vps，甚至是nc開的伺服器等，此時目標伺服器就會主動來連接我們，從而洩漏真實IP，由於我們的目標沒有這項功能，所以就不進行演示了

 9.  郵件訂閱

      很多網站支持RSS訂閱，或者信息提醒還有註冊郵箱驗證等功能，每一封郵件其實都是帶有ip地址的，我們只要查看源碼就能看到

10.  利用網站漏洞

       XSS，SSRF，sql注入，文件包含等，其實很多漏洞可以做到這點，XSS ，SQL注入和SSRF都很好理解，說說文件包含吧，如果網站是站庫分離的，此時可以包含配置文件，配置文件中的地址是資料庫的地址，雖然站庫分離，不過還是有可能在同一個網段，此時可能會獲取ip信息

五、破釜沉舟法

11.  DoS

       都說是破釜沉舟了，此時可能就會有一些非常規的方法，DDoS就是其中一種，原理就是我們把我們解析到的節點的流量打光，也就是說這個節點已經無法解析了，此時如果沒有其他配置目標網站就會放棄使用cdn，此時就會獲得到真實的IP位址了。對於一些小型cdn這種方法是可行的。

12.  全覆蓋掃描+ Host 過濾

       這種方法值得研究研究，主要的思路就是掃描全網的ip地址獲取banner信息，把所有開放了80埠的都收集起來，之後再把http包中的host欄位設置成為www.hasee.com,之後進行匹配，最後得到的ip就是網站的真實ip了，關於host的作用可以參考這篇文章

http://blog.csdn.net/netdxy/article/details/51195560

 

這種方法的實例大家可以參考

http://www.91ri.org/12488.html

 

以上這些方法應該就可以幫助大家找到網站的真實IP了，不過以上並不是全部方法，這種事情針對不同的目標，不同的功能還是會有很多變通的，不過這個方向值得大家去思考！