繞過CDN查看網站真實IP的一些辦法
驗證是否存在CDN最簡單的辦法
通過在線的多地ping,通過每個地區ping的結果得到IP。
看這些IP是否一致,如果都是一樣的,極大可能不存在cdn,但不絕對。
如果這些IP大多數都不太一樣或者規律性很強,可以嘗試查詢這些IP的歸屬地,判斷是否存在CDN。
驗證IP和域名是否真實對應最簡單的辦法
修改本地hosts文件,強行將域名與IP解析對應。
然後訪問域名查看頁面是否變化。
ping
假設如下存在cdn ----> ping www.sysorem.xyz
可以嘗試ping sysorem.xyz,很多廠商可能讓www使用cdn,空域名不是有cdn緩存。
所以直接ping sysorem.xyz可能就能得到真實IP。
分站域名
很多網站主站的訪問量會比較大,所以往往主站都掛着cdn的。
但是分站就不一定了,畢竟cdn要錢,而且也不便宜。
所以可能一些分站就沒有掛着cdn,所以有時候可以嘗試通過查看分站IP。
可能是同個IP或者同個站都是沒準的。
國外訪問
國內的CDN往往只會針對國內用戶訪問加速。
所以國外就不一定了。因此通過國外代理訪問就能查看真實IP了。
或者通過國外的DNS解析,可能就能得到真實的IP。
MX及郵件
mx記錄查詢,一般會是C段。
一些網提供註冊服務,可能會驗證郵件,還有RSS訂閱郵件,忘記密碼等
可能服務器本身自帶sendmail可以直接發送郵件,當然使用第三方的除外(如網易,騰訊等)
當然這個IP也要驗證是否爲主站的
web版的郵件管理,可以通過常看網頁源代碼看到IP
xss
水坑式***,是讓服務器主動連接我們的一種方式。
找phpinfo()之類的探針
DOS
DDoS耗盡CDN流量,那麼就會回源,這樣就能得到真實IP
不設防的cdn量大就會掛,高防cdn要增大流量。
社會工程學
查看歷史
DNS社工庫
cloudflare
全網掃描
zmap號稱44分掃描全網
鏈接:https://www.sysorem.xyz/2016/07/23/get-real-ip-under-cdn/
http://www.cnblogs.com/milantgh/p/5013254.html 這篇文章寫得很詳細,不錯
http://www.freebuf.com/articles/web/41533.html 實例繞過
查找“CDN、負載均衡、反向代理”等大型網絡真實IP地址的方法
首先,CDN、負載均衡、反向代理還分爲很多層,有時查出來的是最外層的 CDN 服務器羣,真實的機器是不對外開放的,類似這樣的:
用戶 → CDN 網絡 → 一臺或多臺真實機器 ↗ CDN Server 1 ↘用戶 → CDN Server 2 → 真實機器 ↘ CDN Server N ↗-------------------------------------------------------- 用戶 → CDN 網絡 → 一臺或多臺反向代理 → 一臺或多臺真實機器 ↗ CDN Server 1 ↘用戶 → CDN Server 2 → Reverse Proxy Server → 真實機器 ↘ CDN Server N ↗
具體根據網絡的負載需求,CDN 服務器的數量以及分級層數是不一定的。
如果是這樣的話,除非日一臺CDN服務器看記錄或者日進CDN供應商控制系統或後臺,才能找到真實IP,但是那些CDN服務器配置完全一樣,應該很難搞。
(這些CDN服務器不止代理的這一家網站,現在都是同時代理很多家網站,這就可以解釋你旁站查詢出來很多不相干的網站都在同一個IP地址,這是CDN服務器供應商節省成本的一種方案,一臺CDN同時代理多家網站,CDN供應商根據你支付金額的多少,決定使用多少臺CDN服務器。)
(這些CDN服務器一般都在高防機房,擁有很大的帶寬,並且大多數CDN運營商還擁有云防火牆技術,什麼叫雲防火牆?即:任意一臺服務器檢測到DDOS***後,會向所有服務器通告這些***源IP,然後所有這些服務器都同時屏蔽這些地址,以實現整個網絡屏蔽DDOS的目的,這些服務器組成了一個很強力的抗DDOS網絡,這是目前對付DDOS***,比較有效的方案之一。)
(再補充一點經驗,這些CDN服務器還根據你提交的 HTTP HOST 頭(也就是域名)返回不一樣的系統信息,更有甚者,只要你 HTTP HOST 頭不正確(不是它提供服務的域名),直接掐斷連接,不返回任何數據,你就得不到任何有效信息,如果你使用“長安刺客 - 旁註殺手 v1.2 版 + CDN 終結者 v1.1”的話,那麼需要在 CDN 終結者界面勾選特殊模式,然後再刺探網絡構架,有時候會有驚喜喲……)
還有另外一種:
用戶 → 多臺實時同步的緩存服務器與真實機器 ↗ Cache Server 1用戶 → Cache Server 2 ↘ Cache Server N ↘ 真實機器
如果是這種的話,很容易就可以找出來真實服務器的IP地址,因爲他們 HTTP Banner 等信息是完全不一樣的,用“長安刺客 - 旁註殺手”一眼就看出來了。
還有另外幾種 CDN、負載均衡、反向代理 等網絡構架:
用戶 → 負載均衡 → 服務器羣 ↗ Cache Server 1用戶 → Load Balance → Cache Server 2 ↘ Cache Server N--------------------------------------------------------------用戶 → 反向代理類服務器 → 一臺或多臺真實機器 ↗ 真實機器1用戶 → Reverse Proxy Server → 真實機器2 ↘ 真實機器N
再結合 xxbing 提供的方法:
關於探測主站真實IP,我一般先查一下分站IP,有一種情況是,主站採用了CDN,分站沒有用。
比如 bbs.xxx.com、vip.xxx.com、pay.xxx.com 都是 111.111.111.x 段的,那麼主站也很有可能是 111.111.111.x 段的。掃一下這個段的80吧。
這確實是個好方法,針對國內的大站,多分玉米的很實用。但是現在很多國外站各種分域名ping出來和主站都是一個IP。
可以暴力跑一下2級域名。什麼 blog.xxx.com、admin.xxx.com、root.xxx.com。反正4位英文以內的。。
2012-4-20 14:21:05 補充:
從烏雲一個帖子裏又摘錄了點……
kyo327 | 2012-04-19 23:37
二級域名 nslookup 百度,谷歌 蒐集信息
還聽說有國外*** ping的方式 不過我測試貌似不行
(站長點評:使用國外 *** ping 的方法是因爲,大部分CDN提供商只針對國內市場,而對國外市場幾乎是不做CDN,所以有很大的機率會直接解析到真實IP。其實這個方法根本不用上國外***,因爲你上國外***的ping本質,就是使用國外dns(那臺***服務器使用的dns)查詢域名而已,所以只需要:nslookup lcx.cc 國外dns,就行了,例如:nslookup lcx.cc 8.8.8.8,提示:你要找冷門國外DNS才行,像谷歌的DNS,國內用的人越來越多了,很多CDN提供商都把谷歌DNS作爲國內市場之一,所以,你查到的結果會和國內差不了多少……)
請叫我大神 | 2012-04-19 23:42
其實可以調查下目標的公司所在地,分析出公司最可能有自己機房的地方,這種分析對大公司比較靠譜。找個那個地區的機器再測試下
(站長評論:且不說這個可能性有多大,首先一些中小型公司肯定沒有自己的機房,網站服務器天南地北的機房都有,有些還是國外的,大型公司也不一定有自己的機房,有的話,也可能在任何地方,你這種方法也許對百度、谷歌這種大公司可能有點作用,可是你別忘了,他們有多少機房?每個機房中有多少服務器?你簡直是在大海撈針,你還不如挨個掃該地區80端口來得快,很明顯,哥們,你太能意淫了!完全沒實踐過……)
請叫我大神 | 2012-04-19 23:44
@kyo327,你說的還是有些模糊,每個方向都可以細化,也會有一些技巧,這個可以分享下
xsser (白日放歌需縱酒) | 2012-04-20 00:13
1 歷史記錄 2 phpinfo 3 經常用ping xxx.com代替ping www.xxx.com
(站長評論:Good,好思路……)
蟋蟀哥哥 | 2012-04-20 00:36
@kyo327 @xsser 樓上的都說的都對,基本把我想到的辦法都說了。哈哈.如果是我的話,肯定會先ping domain.com
然後ping子域,再nslookup.
GaRY | 2012-04-20 02:12
其實,一般mail.xxx.com之類的辦公域名,都不會交給cdn。但是有可能交給gmail或者qmail。但是列舉更多的類似辦公域名,基本也能猜出八九不離十了
(站長評論:這個本文裏有講過,原理很簡單,主站才做CDN,分站、內部域名等傻子才燒錢做CDN啊,所以都是真實IP,這個IP的C段中十有八九就存在主站的服務器,你只需要使用特定的掃描器(可以指定域名的),挨個掃描一下80端口就行了。)
only_guest (www.guoke.ca) | 2012-04-20 03:25
樓上說的差不多了.我再來補充一點.
可以社工統計的帳號.比如51啦..而且有時候是沒密碼的..
大站不行,但我經常搞一些小站的時候可以看到比如說使用IDC分配的二級域名訪問的記錄..
中率不高.實在沒轍可以試試.
然後就是劍心說的phpinfo
這個中率很高.很多大站都喜歡放個phpinfo
看你路徑字典強度.很容易跑出來的.
Eric | 2012-04-20 10:00
ping xxx.com一般都會是真實IP,因爲瞭解到現有很多CDN廠商基本只要求把www.xxx.com cname到cdn主服務器上去。
(站長評論:這個說過很多次,www.lcx.cc 和 lcx.cc 的解析是兩條獨立的記錄,很多公司都會只給 www.lcx.cc 做 CDN,很少管 lcx.cc,所以嘛……)
請叫我大神 | 2012-04-20 15:41
再說一個,小網站從無CDN到有CDN,會有一個IP變化的過程,netcraft.com會記錄下來,也可以做參考:http://toolbar.netcraft.com/site_report?url=www.xxx.net
(站長評論:仍然是看解析記錄)
2012-7-31 18:56:14 補充:
蟋蟀哥哥在繞過CDN的思路提到:
爲了慶祝成都第一次線下沙龍舉辦成功,特地把這個想法發出來。給大家一個繞過cdn的思路。
下面是以前討論這個的帖子:http://zone.wooyun.org/content/79
.....................帥氣的分割線............................
其實這個思路來自於nc反彈,***方向連接從而繞過防火牆....
...我們直接訪問有cdn的域名的時候,肯定要先經過cdn這一層...如果我們讓服務器連接我們呢??不就能快速得到服務器真實IP了麼??
怎麼讓服務器主動聯繫我們呢???
。。我首先想到的email,有的服務器本地自帶sendmail... 註冊之後,會主動發一封郵件給我們。。。 好吧。。打開郵件的源代碼。。 你就能看到服務器的真實Ip了。。。有的大型互聯網網站會有自己的Mailserver...應該也是處在一個網段吧?? 那個網段打開80的一個一個試。。。哈哈。。
如果對方使用的是公用的smtp郵件服務器。。就沒辦法鳥。。。本文提供的是一個思路。。。
除了mail。。。還有什麼能讓服務器主動連接我們呢??? 其實在HTML5中新增了一個push的功能。。也就是說服務器主動發送消息給瀏覽器。。。 由於沒有找到使用這個的網站。。所以只是一個想法。。
希望大家提供更多的思路。。。 謝謝鳥。。。
具體內容見:繞過CDN查找真實IP的思路,一個新穎並另類的方法
站長評論:
這個其實很好理解,之前的方法都是正向查找,這個是反向查找,利用郵件功能、服務器抓取功能(採集新聞之類的功能),總之就是利用誘導服務器對外發送數據,並且可以捕獲到源地址的功能,進行反向偵查。
這個思路確實很新穎,爲什麼以前從來沒有人想到反向查找呢?不過嘛,這個方法有很大的侷限性,應用範圍有限……
相關內容:
IP反查網站接口 旁站查詢 IP查域名 域名歷史解析記錄查詢 IP地址查機房AS號
基於日誌整理出的經常掃描的 IDC、ISP、IP段、AS號及web服務器內容
繞過CDN的思路,繞過CDN查找真實IP的思路,一個新穎並另類的方法
查找“CDN、負載均衡、反向代理”等大型網絡真實IP地址的方法
原文地址:http://lcx.cc/?i=1959