繞過CDN查看網站真實IP的一些辦法

繞過CDN查看網站真實IP的一些辦法

1. 驗證是否存在CDN最簡單的辦法

   1. 通過在線的多地ping，通過每個地區ping的結果得到IP。

   2. 看這些IP是否一致，如果都是一樣的，極大可能不存在cdn,但不絕對。

   3. 如果這些IP大多數都不太一樣或者規律性很強，可以嘗試查詢這些IP的歸屬地，判斷是否存在CDN。

2. 驗證IP和域名是否真實對應最簡單的辦法

   1. 修改本地hosts文件，強行將域名與IP解析對應。

   2. 然後訪問域名查看頁面是否變化。

3. ping

   1. 假設如下存在cdn ----> ping www.sysorem.xyz

   2. 可以嘗試ping sysorem.xyz，很多廠商可能讓www使用cdn，空域名不是有cdn緩存。

   3. 所以直接ping sysorem.xyz可能就能得到真實IP。

4. 分站域名

   1. 很多網站主站的訪問量會比較大，所以往往主站都掛着cdn的。

   2. 但是分站就不一定了，畢竟cdn要錢，而且也不便宜。

   3. 所以可能一些分站就沒有掛着cdn，所以有時候可以嘗試通過查看分站IP。

   4. 可能是同個IP或者同個站都是沒準的。

5. 國外訪問

   1. 國內的CDN往往只會針對國內用戶訪問加速。

   2. 所以國外就不一定了。因此通過國外代理訪問就能查看真實IP了。

   3. 或者通過國外的DNS解析，可能就能得到真實的IP。

6. MX及郵件

   1. mx記錄查詢，一般會是C段。

   2. 一些網提供註冊服務，可能會驗證郵件，還有RSS訂閱郵件，忘記密碼等

   3. 可能服務器本身自帶sendmail可以直接發送郵件，當然使用第三方的除外（如網易，騰訊等）

   4. 當然這個IP也要驗證是否爲主站的

   5. web版的郵件管理，可以通過常看網頁源代碼看到IP

7. xss

   1. 水坑式***，是讓服務器主動連接我們的一種方式。

8. 找phpinfo()之類的探針

9. DOS

   1. DDoS耗盡CDN流量，那麼就會回源，這樣就能得到真實IP

   2. 不設防的cdn量大就會掛，高防cdn要增大流量。

10. 社會工程學

11. 查看歷史

12. DNS社工庫

13. cloudflare

14. 全網掃描

    1. zmap號稱44分掃描全網

15. 鏈接：https://www.sysorem.xyz/2016/07/23/get-real-ip-under-cdn/

16. http://www.cnblogs.com/milantgh/p/5013254.html 這篇文章寫得很詳細，不錯

17. http://www.freebuf.com/articles/web/41533.html   實例繞過

查找“CDN、負載均衡、反向代理”等大型網絡真實IP地址的方法

首先，CDN、負載均衡、反向代理還分爲很多層，有時查出來的是最外層的 CDN 服務器羣，真實的機器是不對外開放的，類似這樣的：

用戶　　→　　　CDN 網絡　　　→　　一臺或多臺真實機器 　　　　↗　　CDN Server 1　　↘用戶　　→　　CDN Server 2　　→　　真實機器　　　　↘　　CDN Server N　　↗-------------------------------------------------------- 用戶　　→　　　CDN 網絡　　　→　　一臺或多臺反向代理　　　→　　一臺或多臺真實機器 　　　　↗　　CDN Server 1　　↘用戶　　→　　CDN Server 2　　→　　Reverse Proxy Server　　→　　真實機器　　　　↘　　CDN Server N　　↗

具體根據網絡的負載需求，CDN 服務器的數量以及分級層數是不一定的。

如果是這樣的話，除非日一臺CDN服務器看記錄或者日進CDN供應商控制系統或後臺，才能找到真實IP，但是那些CDN服務器配置完全一樣，應該很難搞。

（這些CDN服務器不止代理的這一家網站，現在都是同時代理很多家網站，這就可以解釋你旁站查詢出來很多不相干的網站都在同一個IP地址，這是CDN服務器供應商節省成本的一種方案，一臺CDN同時代理多家網站，CDN供應商根據你支付金額的多少，決定使用多少臺CDN服務器。）

（這些CDN服務器一般都在高防機房，擁有很大的帶寬，並且大多數CDN運營商還擁有云防火牆技術，什麼叫雲防火牆？即：任意一臺服務器檢測到DDOS***後，會向所有服務器通告這些***源IP，然後所有這些服務器都同時屏蔽這些地址，以實現整個網絡屏蔽DDOS的目的，這些服務器組成了一個很強力的抗DDOS網絡，這是目前對付DDOS***，比較有效的方案之一。）

（再補充一點經驗，這些CDN服務器還根據你提交的 HTTP HOST 頭（也就是域名）返回不一樣的系統信息，更有甚者，只要你 HTTP HOST 頭不正確（不是它提供服務的域名），直接掐斷連接，不返回任何數據，你就得不到任何有效信息，如果你使用“長安刺客 - 旁註殺手 v1.2 版 + CDN 終結者 v1.1”的話，那麼需要在 CDN 終結者界面勾選特殊模式，然後再刺探網絡構架，有時候會有驚喜喲……）

還有另外一種：

用戶　　→　　多臺實時同步的緩存服務器與真實機器　　　　↗　　Cache Server 1用戶　　→　　Cache Server 2　　　　↘　　Cache Server N
　　　　↘　　真實機器

如果是這種的話，很容易就可以找出來真實服務器的IP地址，因爲他們 HTTP Banner 等信息是完全不一樣的，用“長安刺客 - 旁註殺手”一眼就看出來了。

還有另外幾種 CDN、負載均衡、反向代理 等網絡構架：

用戶　　→　　　負載均衡　　　→　　服務器羣　　　　　　　　　　　　　　　↗　　Cache Server 1用戶　　→　　Load Balance　　→　　Cache Server 2　　　　　　　　　　　　　　　↘　　Cache Server N--------------------------------------------------------------用戶　　→　　　反向代理類服務器　　　→　　一臺或多臺真實機器　　　　　　　　　　　　　　　　　　　↗　　真實機器1用戶　　→　　Reverse Proxy Server　　→　　真實機器2　　　　　　　　　　　　　　　　　　　↘　　真實機器N

再結合 xxbing 提供的方法：

關於探測主站真實IP，我一般先查一下分站IP，有一種情況是，主站採用了CDN，分站沒有用。

比如 bbs.xxx.com、vip.xxx.com、pay.xxx.com 都是 111.111.111.x 段的，那麼主站也很有可能是 111.111.111.x 段的。掃一下這個段的80吧。

這確實是個好方法，針對國內的大站，多分玉米的很實用。但是現在很多國外站各種分域名ping出來和主站都是一個IP。

可以暴力跑一下2級域名。什麼 blog.xxx.com、admin.xxx.com、root.xxx.com。反正4位英文以內的。。

---

2012-4-20 14:21:05 補充：

從烏雲一個帖子裏又摘錄了點……

地址：如何快速查找cdn後面的真實ip

 

kyo327 | 2012-04-19 23:37

二級域名 nslookup 百度，谷歌 蒐集信息

還聽說有國外*** ping的方式 不過我測試貌似不行

（站長點評：使用國外 *** ping 的方法是因爲，大部分CDN提供商只針對國內市場，而對國外市場幾乎是不做CDN，所以有很大的機率會直接解析到真實IP。其實這個方法根本不用上國外***，因爲你上國外***的ping本質，就是使用國外dns（那臺***服務器使用的dns）查詢域名而已，所以只需要：nslookup lcx.cc 國外dns，就行了，例如：nslookup lcx.cc 8.8.8.8，提示：你要找冷門國外DNS才行，像谷歌的DNS，國內用的人越來越多了，很多CDN提供商都把谷歌DNS作爲國內市場之一，所以，你查到的結果會和國內差不了多少……）

 

請叫我大神 | 2012-04-19 23:42

其實可以調查下目標的公司所在地，分析出公司最可能有自己機房的地方，這種分析對大公司比較靠譜。找個那個地區的機器再測試下

（站長評論：且不說這個可能性有多大，首先一些中小型公司肯定沒有自己的機房，網站服務器天南地北的機房都有，有些還是國外的，大型公司也不一定有自己的機房，有的話，也可能在任何地方，你這種方法也許對百度、谷歌這種大公司可能有點作用，可是你別忘了，他們有多少機房？每個機房中有多少服務器？你簡直是在大海撈針，你還不如挨個掃該地區80端口來得快，很明顯，哥們，你太能意淫了！完全沒實踐過……）

 

請叫我大神 | 2012-04-19 23:44

@kyo327，你說的還是有些模糊，每個方向都可以細化，也會有一些技巧，這個可以分享下

 

xsser (白日放歌需縱酒) | 2012-04-20 00:13

1 歷史記錄 2 phpinfo 3 經常用ping xxx.com代替ping www.xxx.com

（站長評論：Good，好思路……）

 

蟋蟀哥哥 | 2012-04-20 00:36

@kyo327 @xsser 樓上的都說的都對,基本把我想到的辦法都說了。哈哈.如果是我的話，肯定會先ping domain.com

然後ping子域,再nslookup.

 

GaRY | 2012-04-20 02:12

其實，一般mail.xxx.com之類的辦公域名，都不會交給cdn。但是有可能交給gmail或者qmail。但是列舉更多的類似辦公域名，基本也能猜出八九不離十了

（站長評論：這個本文裏有講過，原理很簡單，主站才做CDN，分站、內部域名等傻子才燒錢做CDN啊，所以都是真實IP，這個IP的C段中十有八九就存在主站的服務器，你只需要使用特定的掃描器（可以指定域名的），挨個掃描一下80端口就行了。）

 

only_guest (www.guoke.ca) | 2012-04-20 03:25

樓上說的差不多了.我再來補充一點.

可以社工統計的帳號.比如51啦..而且有時候是沒密碼的..

大站不行,但我經常搞一些小站的時候可以看到比如說使用IDC分配的二級域名訪問的記錄..

中率不高.實在沒轍可以試試.

然後就是劍心說的phpinfo

這個中率很高.很多大站都喜歡放個phpinfo

看你路徑字典強度.很容易跑出來的.

 

Eric | 2012-04-20 10:00

ping xxx.com一般都會是真實IP，因爲瞭解到現有很多CDN廠商基本只要求把www.xxx.com cname到cdn主服務器上去。

（站長評論：這個說過很多次，www.lcx.cc 和 lcx.cc 的解析是兩條獨立的記錄，很多公司都會只給 www.lcx.cc 做 CDN，很少管 lcx.cc，所以嘛……）

 

請叫我大神 | 2012-04-20 15:41

再說一個，小網站從無CDN到有CDN，會有一個IP變化的過程，netcraft.com會記錄下來，也可以做參考：http://toolbar.netcraft.com/site_report?url=www.xxx.net

（站長評論：仍然是看解析記錄）

2012-7-31 18:56:14 補充：

蟋蟀哥哥在繞過CDN的思路提到：

爲了慶祝成都第一次線下沙龍舉辦成功,特地把這個想法發出來。給大家一個繞過cdn的思路。

下面是以前討論這個的帖子:http://zone.wooyun.org/content/79

.....................帥氣的分割線............................

其實這個思路來自於nc反彈,***方向連接從而繞過防火牆....

...我們直接訪問有cdn的域名的時候，肯定要先經過cdn這一層...如果我們讓服務器連接我們呢??不就能快速得到服務器真實IP了麼??

怎麼讓服務器主動聯繫我們呢???

。。我首先想到的email,有的服務器本地自帶sendmail...  註冊之後，會主動發一封郵件給我們。。。 好吧。。打開郵件的源代碼。。 你就能看到服務器的真實Ip了。。。有的大型互聯網網站會有自己的Mailserver...應該也是處在一個網段吧？？  那個網段打開80的一個一個試。。。哈哈。。

如果對方使用的是公用的smtp郵件服務器。。就沒辦法鳥。。。本文提供的是一個思路。。。

除了mail。。。還有什麼能讓服務器主動連接我們呢？？？ 其實在HTML5中新增了一個push的功能。。也就是說服務器主動發送消息給瀏覽器。。。 由於沒有找到使用這個的網站。。所以只是一個想法。。

希望大家提供更多的思路。。。 謝謝鳥。。。

具體內容見：繞過CDN查找真實IP的思路，一個新穎並另類的方法

站長評論：

這個其實很好理解，之前的方法都是正向查找，這個是反向查找，利用郵件功能、服務器抓取功能（採集新聞之類的功能），總之就是利用誘導服務器對外發送數據，並且可以捕獲到源地址的功能，進行反向偵查。

這個思路確實很新穎，爲什麼以前從來沒有人想到反向查找呢？不過嘛，這個方法有很大的侷限性，應用範圍有限……

相關內容：

如何看兩個ip是不是在一個機房，路由追蹤

IP反查網站接口 旁站查詢 IP查域名 域名歷史解析記錄查詢 IP地址查機房AS號

基於日誌整理出的經常掃描的 IDC、ISP、IP段、AS號及web服務器內容

繞過CDN的思路，繞過CDN查找真實IP的思路，一個新穎並另類的方法

查找“CDN、負載均衡、反向代理”等大型網絡真實IP地址的方法

原文地址：http://lcx.cc/?i=1959