cdn背后的网站真实IP

CDN 的全称是Content Delivery Network（内容分发网络），通过在网络各处的加速节点服务器来为网站抵挡恶意流量，把正常流量进行转发。用简单点的话来说，CDN一般有三个作用

1. 跨运营商加速：我们自己的网站常常只属于一个运营商(比如：电信)，而加速节点遍布每家运营商，于是和网站不同运营商（比如：联通）的用户访问起来就不会那么慢了。

2. 缓存加速：很多的静态资源以及一部分页面更新都是比较慢的（比如首页），这个时候CDN就会根据浏览器的max-age和last-modified值以及管理员的预设值来进行缓存，于是很多流量CDN节点就不会每次都来向网站请求，CDN节点可以直接自作主张地将命中的缓存内容返回。

3. 恶意流量过滤：这是CDN非常重要的一个作用，也是很多网站会用CDN的原因，因为CDN能为我们抵挡攻击大流量攻击、普通的攻击（比如注入等），只有正常流量才会转发给网站。

CDN多是伴随着云防火墙来一起使用的，这些防火墙会过滤掉大部分恶意的攻击流量，所以cdn在有这种抵挡攻击的作用。cdn在防御拒绝服务攻击的时候颇有建树，正好我这里有一个发生在我身边的真实案例

之前买的一个资源合购类的站点就是这样，因为侵犯被人利益，所以经常遭受拒绝服务攻击，实在是不堪其扰后被迫使用了cdn，后来就再也没有被D成功过。这个例子并不是说cdn一定能防住毕竟很多cdn节点流量并不大，可能自己本身就会被拒绝服务，只是说其在这方面有流量清洗的作用。

下面我们就来介绍一下如何获取cdn背后的真实IP地址

直接traceroute 是得不到真实ip地址的

追寻真实IP的12个方法！

PS: 基本都是来源于网络

一、利用cdn覆盖边界狭窄

1. ping域名而不带主机名

一般我们都ping www.hasee.com,而www主机名一定会被cdn保护（前提是企业使用cdn），而对于hasee.com这个域名却不一定

可以看到我们很轻易就获得了www.hasee.com的真实IP，此时我们最好来验证一下是不是，我们直接用浏览器访问这个ip

此时可以和www.hasee.com的网站对比一下，如果一致说明这个就是其真实ip

2. 采用国外DNS

这个方法主要就是针对一些cdn 只对国内的ip部署了cdn，对于国外的ip并没有部署，这样就会得到真实IP。

这项其实对于网宿cdn是没有意义的，因为它有海外的节点，下面列出一些海外dns服务器（使用站长工具当然是可以的）

dighasee.com @198.153.192.1

198.153.192.1

198.153.194.1

208.67.222.123

208.67.220.123

64.6.64.6

64.6.65.6

8.26.56.26

8.20.247.20

77.88.8.8

80.80.80.80

84.200.70.40

199.85.126.10

8.26.56.26

156.154.70.1

156.154.71.1

208.67.222.222

208.67.220.220

165.87.13.129

165.87.201.244

205.171.3.65

205.171.2.65

198.41.0.4

198.41.0.4

198.32.64.12

192.33.4.12

192.203.230.10

192.5.5.241

192.112.36.4

192.36.148.17

192.58.128.30

192.9.9.3

193.0.14.129

128.9.0.107

128.8.10.90

66.33.206.206.

208.96.10.221

66.33.216.216

205.171.3.65

205.171.2.65

165.87.13.129

165.87.201.244

加拿大：

209.166.160.36

209.166.160.132

英国：

193.0.14.129

日本

202.12.27.33

202.216.228.18

韩国：

164.124.101.31

203.248.240.31

168.126.63.60

168.126.63.61

新西兰：

202.27.184.3

泰国：

209.166.160.132

202.44.8.34

202.44.8.2

印度：

202.138.103.100

202.138.96.2

3. 利用子域名

网上很多都说是二级域名，如果大家看过我之前的文章就知道这是一个小错误，至少应该是三级域名，有的网站功能庞大甚至有四级域名，所以在这里直接说是子域名

这种方法的主要原理就是因为很多公司没有必要为每一个子域名都使用cdn，而且子域名和主站使用同一个服务器，此时就会导致真实IP泄漏

从之前的子域名收集来看，可以判断IP位于219.133.3.0/24 这个网段

二、黑历史

4. DNS历史解析记录

看过前任攻略1的都知道，前任有时候是很麻烦的存在着。当然这只是一个小的比喻，有一些网站可以查询到DNS历史解析记录，可能在很多网站并未采用cdn时候的解析记录就被记录了下来，之后也并未更换服务器，此时就能查询到真实IP地址

https://dnsdb.io/zh-cn/

https://x.threatbook.cn/

http://toolbar.netcraft.com/site_report?url=

http://viewdns.info/

http://site.ip138.com/

可以选择较为久远的ip，之后挨个测试一下

三、特定程序泄露

5. phpinfo（不只是phpinfo，其实还有其他的一些）

phpinfo中包含了太多的信息了，其中就有网站ip信息

这个用 inurl:phpinfo.php 有很多，大家可以查看一下

6. F5 LTM解码法(这个方法我没用过，只是在网上见到过)

当服务器使用F5 LTM做负载均衡时,通过对set-cookie关键字的解码真实ip也可被获取,’

例如:Set-Cookie:BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小节的十进制数即487098378取出来,然后将其转为十六进制数1d08880a,接着从后至前,以此取四位数出来,也就是0a.88.08.1d,最后依次把他们转为十进制数10.136.8.29,也就是最后的真实ip。

7. HTML 页面信息匹配

采用FOFA搜索引擎（https://fofa.so/）可以对html 进行匹配（shodan也能做到，就是费点劲），比如我们匹配标题，我们先来查看一下网站首页的标题

之后我们去fofa搜索

从而获得一个真实IP，我们可以访问一下这个ip

可以看出这个并不是，可能只会一个节点或者反向代理什么的。

四、反弹连接获取真实IP

8. 图片上传（仅以图片为例）

很多网站程序（比如bbs）都有自定义头像的功能，这个功能不止是可能存在文件上传漏洞，还有可能泄漏网站的ip，当然就不只是图片上传了,还可能是视频或者office等。泄漏的主要的一个途径就是很多网站支持在线图片，此时我们把图片地址设为我们的vps，甚至是nc开的服务器等，此时目标服务器就会主动来连接我们，从而泄漏真实IP，由于我们的目标没有这项功能，所以就不进行演示了

9. 邮件订阅

很多网站支持RSS订阅，或者信息提醒还有注册邮箱验证等功能，每一封邮件其实都是带有ip地址的，我们只要查看源码就能看到

10. 利用网站漏洞

XSS，SSRF，sql注入，文件包含等，其实很多漏洞可以做到这点，XSS ，SQL注入和SSRF都很好理解，说说文件包含吧，如果网站是站库分离的，此时可以包含配置文件，配置文件中的地址是数据库的地址，虽然站库分离，不过还是有可能在同一个网段，此时可能会获取ip信息

五、破釜沉舟法

11. DoS

都说是破釜沉舟了，此时可能就会有一些非常规的方法，DDoS就是其中一种，原理就是我们把我们解析到的节点的流量打光，也就是说这个节点已经无法解析了，此时如果没有其他配置目标网站就会放弃使用cdn，此时就会获得到真实的IP地址了。对于一些小型cdn这种方法是可行的。

12. 全覆盖扫描+ Host 过滤

这种方法值得研究研究，主要的思路就是扫描全网的ip地址获取banner信息，把所有开放了80端口的都收集起来，之后再把http包中的host字段设置成为www.hasee.com,之后进行匹配，最后得到的ip就是网站的真实ip了，关于host的作用可以参考这篇文章

http://blog.csdn.net/netdxy/article/details/51195560

这种方法的实例大家可以参考

http://www.91ri.org/12488.html

以上这些方法应该就可以帮助大家找到网站的真实IP了，不过以上并不是全部方法，这种事情针对不同的目标，不同的功能还是会有很多变通的，不过这个方向值得大家去思考！