首先,CDN、負載均衡、反向代理還分為很多層,有時查出來的是最外層的 CDN 服務器群,真實的機器是不對外開放的,類似這樣的:
用戶 → CDN 網絡 → 一台或多台真實機器 ↗ CDN Server 1 ↘ 用戶 → CDN Server 2 → 真實機器 ↘ CDN Server N ↗ -------------------------------------------------------- 用戶 → CDN 網絡 → 一台或多台反向代理 → 一台或多台真實機器 ↗ CDN Server 1 ↘ 用戶 → CDN Server 2 → Reverse Proxy Server → 真實機器 ↘ CDN Server N ↗
具體根據網絡的負載需求,CDN 服務器的數量以及分級層數是不一定的。
如果是這樣的話,除非日一台CDN服務器看記錄或者日進CDN供應商控制系統或后台,才能找到真實IP,但是那些CDN服務器配置完全一樣,應該很難搞。
(這些CDN服務器不止代理的這一家網站,現在都是同時代理很多家網站,這就可以解釋你旁站查詢出來很多不相干的網站都在同一個IP地址,這是CDN服務器供應商節省成本的一種方案,一台CDN同時代理多家網站,CDN供應商根據你支付金額的多少,決定使用多少台CDN服務器。)
(這些CDN服務器一般都在高防機房,擁有很大的帶寬,並且大多數CDN運營商還擁有雲防火牆技術,什么叫雲防火牆?即:任意一台服務器檢測到DDOS攻擊后,會向所有服務器通告這些攻擊源IP,然后所有這些服務器都同時屏蔽這些地址,以實現整個網絡屏蔽DDOS的目的,這些服務器組成了一個很強力的抗DDOS網絡,這是目前對付DDOS攻擊,比較有效的方案之一。)
(再補充一點經驗,這些CDN服務器還根據你提交的 HTTP HOST 頭(也就是域名)返回不一樣的系統信息,更有甚者,只要你 HTTP HOST 頭不正確(不是它提供服務的域名),直接掐斷連接,不返回任何數據,你就得不到任何有效信息,如果你使用“長安刺客 - 旁注殺手 v1.2 版 + CDN 終結者 v1.1”的話,那么需要在 CDN 終結者界面勾選特殊模式,然后再刺探網絡構架,有時候會有驚喜喲……)
還有另外一種:
用戶 → 多台實時同步的緩存服務器與真實機器 ↗ Cache Server 1 用戶 → Cache Server 2 ↘ Cache Server N ↘ 真實機器
如果是這種的話,很容易就可以找出來真實服務器的IP地址,因為他們 HTTP Banner 等信息是完全不一樣的,用“長安刺客 - 旁注殺手”一眼就看出來了。
還有另外幾種 CDN、負載均衡、反向代理 等網絡構架:
用戶 → 負載均衡 → 服務器群 ↗ Cache Server 1 用戶 → Load Balance → Cache Server 2 ↘ Cache Server N -------------------------------------------------------------- 用戶 → 反向代理類服務器 → 一台或多台真實機器 ↗ 真實機器1 用戶 → Reverse Proxy Server → 真實機器2 ↘ 真實機器N
再結合 xxbing 提供的方法:
關於探測主站真實IP,我一般先查一下分站IP,有一種情況是,主站采用了CDN,分站沒有用。
比如 bbs.xxx.com、vip.xxx.com、pay.xxx.com 都是 111.111.111.x 段的,那么主站也很有可能是 111.111.111.x 段的。掃一下這個段的80吧。
這確實是個好方法,針對國內的大站,多分玉米的很實用。但是現在很多國外站各種分域名ping出來和主站都是一個IP。
可以暴力跑一下2級域名。什么 blog.xxx.com、admin.xxx.com、root.xxx.com。反正4位英文以內的。。
2012-4-20 14:21:05 補充:
從烏雲一個帖子里又摘錄了點……
kyo327 | 2012-04-19 23:37
二級域名 nslookup 百度,谷歌 搜集信息
還聽說有國外vpn ping的方式 不過我測試貌似不行
(站長點評:使用國外 vpn ping 的方法是因為,大部分CDN提供商只針對國內市場,而對國外市場幾乎是不做CDN,所以有很大的幾率會直接解析到真實IP。其實這個方法根本不用上國外vpn,因為你上國外vpn的ping本質,就是使用國外dns(那台vpn服務器使用的dns)查詢域名而已,所以只需要:nslookup lcx.cc 國外dns,就行了,例如:nslookup lcx.cc 8.8.8.8,提示:你要找冷門國外DNS才行,像谷歌的DNS,國內用的人越來越多了,很多CDN提供商都把谷歌DNS作為國內市場之一,所以,你查到的結果會和國內差不了多少……)
請叫我大神 | 2012-04-19 23:42
其實可以調查下目標的公司所在地,分析出公司最可能有自己機房的地方,這種分析對大公司比較靠譜。找個那個地區的機器再測試下
(站長評論:且不說這個可能性有多大,首先一些中小型公司肯定沒有自己的機房,網站服務器天南地北的機房都有,有些還是國外的,大型公司也不一定有自己的機房,有的話,也可能在任何地方,你這種方法也許對百度、谷歌這種大公司可能有點作用,可是你別忘了,他們有多少機房?每個機房中有多少服務器?你簡直是在大海撈針,你還不如挨個掃該地區80端口來得快,很明顯,哥們,你太能意淫了!完全沒實踐過……)
請叫我大神 | 2012-04-19 23:44
@kyo327,你說的還是有些模糊,每個方向都可以細化,也會有一些技巧,這個可以分享下
xsser (白日放歌需縱酒) | 2012-04-20 00:13
1 歷史記錄 2 phpinfo 3 經常用ping xxx.com代替ping www.xxx.com
(站長評論:Good,好思路……)
蟋蟀哥哥 | 2012-04-20 00:36
@kyo327 @xsser 樓上的都說的都對,基本把我想到的辦法都說了。哈哈.如果是我的話,肯定會先ping domain.com
然后ping子域,再nslookup.
GaRY | 2012-04-20 02:12
其實,一般mail.xxx.com之類的辦公域名,都不會交給cdn。但是有可能交給gmail或者qmail。但是列舉更多的類似辦公域名,基本也能猜出八九不離十了
(站長評論:這個本文里有講過,原理很簡單,主站才做CDN,分站、內部域名等傻子才燒錢做CDN啊,所以都是真實IP,這個IP的C段中十有八九就存在主站的服務器,你只需要使用特定的掃描器(可以指定域名的),挨個掃描一下80端口就行了。)
only_guest (www.guoke.ca) | 2012-04-20 03:25
樓上說的差不多了.我再來補充一點.
可以社工統計的帳號.比如51啦..而且有時候是沒密碼的..
大站不行,但我經常搞一些小站的時候可以看到比如說使用IDC分配的二級域名訪問的記錄..
中率不高.實在沒轍可以試試.
然后就是劍心說的phpinfo
這個中率很高.很多大站都喜歡放個phpinfo
看你路徑字典強度.很容易跑出來的.
Eric | 2012-04-20 10:00
ping xxx.com一般都會是真實IP,因為了解到現有很多CDN廠商基本只要求把www.xxx.com cname到cdn主服務器上去。
(站長評論:這個說過很多次,www.lcx.cc 和 lcx.cc 的解析是兩條獨立的記錄,很多公司都會只給 www.lcx.cc 做 CDN,很少管 lcx.cc,所以嘛……)
請叫我大神 | 2012-04-20 15:41
再說一個,小網站從無CDN到有CDN,會有一個IP變化的過程,netcraft.com會記錄下來,也可以做參考:http://toolbar.netcraft.com/site_report?url=www.xxx.net
(站長評論:仍然是看解析記錄)
2012-7-31 18:56:14 補充:
蟋蟀哥哥在繞過CDN的思路提到:
為了慶祝成都第一次線下沙龍舉辦成功,特地把這個想法發出來。給大家一個繞過cdn的思路。
下面是以前討論這個的帖子:http://zone.wooyun.org/content/79
.....................帥氣的分割線............................
其實這個思路來自於nc反彈,木馬方向連接從而繞過防火牆....
...我們直接訪問有cdn的域名的時候,肯定要先經過cdn這一層...如果我們讓服務器連接我們呢??不就能快速得到服務器真實IP了么??
怎么讓服務器主動聯系我們呢???
。。我首先想到的email,有的服務器本地自帶sendmail... 注冊之后,會主動發一封郵件給我們。。。 好吧。。打開郵件的源代碼。。 你就能看到服務器的真實Ip了。。。有的大型互聯網網站會有自己的Mailserver...應該也是處在一個網段吧?? 那個網段打開80的一個一個試。。。哈哈。。
如果對方使用的是公用的smtp郵件服務器。。就沒辦法鳥。。。本文提供的是一個思路。。。
除了mail。。。還有什么能讓服務器主動連接我們呢??? 其實在HTML5中新增了一個push的功能。。也就是說服務器主動發送消息給瀏覽器。。。 由於沒有找到使用這個的網站。。所以只是一個想法。。
希望大家提供更多的思路。。。 謝謝鳥。。。
具體內容見:繞過CDN查找真實IP的思路,一個新穎並另類的方法
站長評論:
這個其實很好理解,之前的方法都是正向查找,這個是反向查找,利用郵件功能、服務器抓取功能(采集新聞之類的功能),總之就是利用誘導服務器對外發送數據,並且可以捕獲到源地址的功能,進行反向偵查。
這個思路確實很新穎,為什么以前從來沒有人想到反向查找呢?不過嘛,這個方法有很大的局限性,應用范圍有限……
相關內容:
IP反查網站接口 旁站查詢 IP查域名 域名歷史解析記錄查詢 IP地址查機房AS號
基於日志整理出的經常掃描的 IDC、ISP、IP段、AS號及web服務器內容
繞過CDN的思路,繞過CDN查找真實IP的思路,一個新穎並另類的方法
查找“CDN、負載均衡、反向代理”等大型網絡真實IP地址的方法
原文地址:http://lcx.cc/?i=1959