查找“CDN、負載均衡、反向代理”等大型網絡真實IP地址的方法

首先，CDN、負載均衡、反向代理還分為很多層，有時查出來的是最外層的 CDN 服務器群，真實的機器是不對外開放的，類似這樣的：

用戶　　→　　　CDN 網絡　　　→　　一台或多台真實機器 　　　　↗　　CDN Server 1　　↘ 用戶　　→　　CDN Server 2　　→　　真實機器 　　　　↘　　CDN Server N　　↗ -------------------------------------------------------- 用戶　　→　　　CDN 網絡　　　→　　一台或多台反向代理　　　→　　一台或多台真實機器 　　　　↗　　CDN Server 1　　↘ 用戶　　→　　CDN Server 2　　→　　Reverse Proxy Server　　→　　真實機器 　　　　↘　　CDN Server N　　↗

具體根據網絡的負載需求，CDN 服務器的數量以及分級層數是不一定的。

如果是這樣的話，除非日一台CDN服務器看記錄或者日進CDN供應商控制系統或后台，才能找到真實IP，但是那些CDN服務器配置完全一樣，應該很難搞。

（這些CDN服務器不止代理的這一家網站，現在都是同時代理很多家網站，這就可以解釋你旁站查詢出來很多不相干的網站都在同一個IP地址，這是CDN服務器供應商節省成本的一種方案，一台CDN同時代理多家網站，CDN供應商根據你支付金額的多少，決定使用多少台CDN服務器。）

（這些CDN服務器一般都在高防機房，擁有很大的帶寬，並且大多數CDN運營商還擁有雲防火牆技術，什么叫雲防火牆？即：任意一台服務器檢測到DDOS攻擊后，會向所有服務器通告這些攻擊源IP，然后所有這些服務器都同時屏蔽這些地址，以實現整個網絡屏蔽DDOS的目的，這些服務器組成了一個很強力的抗DDOS網絡，這是目前對付DDOS攻擊，比較有效的方案之一。）

（再補充一點經驗，這些CDN服務器還根據你提交的 HTTP HOST 頭（也就是域名）返回不一樣的系統信息，更有甚者，只要你 HTTP HOST 頭不正確（不是它提供服務的域名），直接掐斷連接，不返回任何數據，你就得不到任何有效信息，如果你使用“長安刺客 - 旁注殺手 v1.2 版 + CDN 終結者 v1.1”的話，那么需要在 CDN 終結者界面勾選特殊模式，然后再刺探網絡構架，有時候會有驚喜喲……）

還有另外一種：

用戶　　→　　多台實時同步的緩存服務器與真實機器 　　　　↗　　Cache Server 1 用戶　　→　　Cache Server 2 　　　　↘　　Cache Server N 　　　　↘　　真實機器

如果是這種的話，很容易就可以找出來真實服務器的IP地址，因為他們 HTTP Banner 等信息是完全不一樣的，用“長安刺客 - 旁注殺手”一眼就看出來了。

還有另外幾種 CDN、負載均衡、反向代理 等網絡構架：

用戶　　→　　　負載均衡　　　→　　服務器群 　　　　　　　　　　　　　　　↗　　Cache Server 1 用戶　　→　　Load Balance　　→　　Cache Server 2 　　　　　　　　　　　　　　　↘　　Cache Server N -------------------------------------------------------------- 用戶　　→　　　反向代理類服務器　　　→　　一台或多台真實機器 　　　　　　　　　　　　　　　　　　　↗　　真實機器1 用戶　　→　　Reverse Proxy Server　　→　　真實機器2 　　　　　　　　　　　　　　　　　　　↘　　真實機器N

再結合 xxbing 提供的方法：

關於探測主站真實IP，我一般先查一下分站IP，有一種情況是，主站采用了CDN，分站沒有用。

比如 bbs.xxx.com、vip.xxx.com、pay.xxx.com 都是 111.111.111.x 段的，那么主站也很有可能是 111.111.111.x 段的。掃一下這個段的80吧。

這確實是個好方法，針對國內的大站，多分玉米的很實用。但是現在很多國外站各種分域名ping出來和主站都是一個IP。

可以暴力跑一下2級域名。什么 blog.xxx.com、admin.xxx.com、root.xxx.com。反正4位英文以內的。。

---

2012-4-20 14:21:05 補充：

從烏雲一個帖子里又摘錄了點……

地址：如何快速查找cdn后面的真實ip

 

kyo327 | 2012-04-19 23:37

二級域名 nslookup 百度，谷歌 搜集信息

還聽說有國外vpn ping的方式 不過我測試貌似不行

（站長點評：使用國外 vpn ping 的方法是因為，大部分CDN提供商只針對國內市場，而對國外市場幾乎是不做CDN，所以有很大的幾率會直接解析到真實IP。其實這個方法根本不用上國外vpn，因為你上國外vpn的ping本質，就是使用國外dns（那台vpn服務器使用的dns）查詢域名而已，所以只需要：nslookup lcx.cc 國外dns，就行了，例如：nslookup lcx.cc 8.8.8.8，提示：你要找冷門國外DNS才行，像谷歌的DNS，國內用的人越來越多了，很多CDN提供商都把谷歌DNS作為國內市場之一，所以，你查到的結果會和國內差不了多少……）

 

請叫我大神 | 2012-04-19 23:42

其實可以調查下目標的公司所在地，分析出公司最可能有自己機房的地方，這種分析對大公司比較靠譜。找個那個地區的機器再測試下

（站長評論：且不說這個可能性有多大，首先一些中小型公司肯定沒有自己的機房，網站服務器天南地北的機房都有，有些還是國外的，大型公司也不一定有自己的機房，有的話，也可能在任何地方，你這種方法也許對百度、谷歌這種大公司可能有點作用，可是你別忘了，他們有多少機房？每個機房中有多少服務器？你簡直是在大海撈針，你還不如挨個掃該地區80端口來得快，很明顯，哥們，你太能意淫了！完全沒實踐過……）

 

請叫我大神 | 2012-04-19 23:44

@kyo327，你說的還是有些模糊，每個方向都可以細化，也會有一些技巧，這個可以分享下

 

xsser (白日放歌需縱酒) | 2012-04-20 00:13

1 歷史記錄 2 phpinfo 3 經常用ping xxx.com代替ping www.xxx.com

（站長評論：Good，好思路……）

 

蟋蟀哥哥 | 2012-04-20 00:36

@kyo327 @xsser 樓上的都說的都對,基本把我想到的辦法都說了。哈哈.如果是我的話，肯定會先ping domain.com

然后ping子域,再nslookup.

 

GaRY | 2012-04-20 02:12

其實，一般mail.xxx.com之類的辦公域名，都不會交給cdn。但是有可能交給gmail或者qmail。但是列舉更多的類似辦公域名，基本也能猜出八九不離十了

（站長評論：這個本文里有講過，原理很簡單，主站才做CDN，分站、內部域名等傻子才燒錢做CDN啊，所以都是真實IP，這個IP的C段中十有八九就存在主站的服務器，你只需要使用特定的掃描器（可以指定域名的），挨個掃描一下80端口就行了。）

 

only_guest (www.guoke.ca) | 2012-04-20 03:25

樓上說的差不多了.我再來補充一點.

可以社工統計的帳號.比如51啦..而且有時候是沒密碼的..

大站不行,但我經常搞一些小站的時候可以看到比如說使用IDC分配的二級域名訪問的記錄..

中率不高.實在沒轍可以試試.

然后就是劍心說的phpinfo

這個中率很高.很多大站都喜歡放個phpinfo

看你路徑字典強度.很容易跑出來的.

 

Eric | 2012-04-20 10:00

ping xxx.com一般都會是真實IP，因為了解到現有很多CDN廠商基本只要求把www.xxx.com cname到cdn主服務器上去。

（站長評論：這個說過很多次，www.lcx.cc 和 lcx.cc 的解析是兩條獨立的記錄，很多公司都會只給 www.lcx.cc 做 CDN，很少管 lcx.cc，所以嘛……）

 

請叫我大神 | 2012-04-20 15:41

再說一個，小網站從無CDN到有CDN，會有一個IP變化的過程，netcraft.com會記錄下來，也可以做參考：http://toolbar.netcraft.com/site_report?url=www.xxx.net

（站長評論：仍然是看解析記錄）

2012-7-31 18:56:14 補充：

蟋蟀哥哥在繞過CDN的思路提到：

為了慶祝成都第一次線下沙龍舉辦成功,特地把這個想法發出來。給大家一個繞過cdn的思路。

下面是以前討論這個的帖子:http://zone.wooyun.org/content/79

.....................帥氣的分割線............................

其實這個思路來自於nc反彈,木馬方向連接從而繞過防火牆....

...我們直接訪問有cdn的域名的時候，肯定要先經過cdn這一層...如果我們讓服務器連接我們呢??不就能快速得到服務器真實IP了么??

怎么讓服務器主動聯系我們呢???

。。我首先想到的email,有的服務器本地自帶sendmail...  注冊之后，會主動發一封郵件給我們。。。 好吧。。打開郵件的源代碼。。 你就能看到服務器的真實Ip了。。。有的大型互聯網網站會有自己的Mailserver...應該也是處在一個網段吧？？  那個網段打開80的一個一個試。。。哈哈。。

如果對方使用的是公用的smtp郵件服務器。。就沒辦法鳥。。。本文提供的是一個思路。。。

除了mail。。。還有什么能讓服務器主動連接我們呢？？？ 其實在HTML5中新增了一個push的功能。。也就是說服務器主動發送消息給瀏覽器。。。 由於沒有找到使用這個的網站。。所以只是一個想法。。

希望大家提供更多的思路。。。 謝謝鳥。。。

具體內容見：繞過CDN查找真實IP的思路，一個新穎並另類的方法

站長評論：

這個其實很好理解，之前的方法都是正向查找，這個是反向查找，利用郵件功能、服務器抓取功能（采集新聞之類的功能），總之就是利用誘導服務器對外發送數據，並且可以捕獲到源地址的功能，進行反向偵查。

這個思路確實很新穎，為什么以前從來沒有人想到反向查找呢？不過嘛，這個方法有很大的局限性，應用范圍有限……

相關內容：

如何看兩個ip是不是在一個機房，路由追蹤

IP反查網站接口 旁站查詢 IP查域名 域名歷史解析記錄查詢 IP地址查機房AS號

基於日志整理出的經常掃描的 IDC、ISP、IP段、AS號及web服務器內容

繞過CDN的思路，繞過CDN查找真實IP的思路，一個新穎並另類的方法

查找“CDN、負載均衡、反向代理”等大型網絡真實IP地址的方法

原文地址：http://lcx.cc/?i=1959