前言:在某次护网值守的时候,其中一份溯源报告,可以说是描绘出了攻击者的画像,但是由于历史解析域名和ip不再匹配,这份报告也是没有通过,所以在想不仅是域名和ip绑定过期的问题,还有一些情况抓到的是CDN加速节点,经过多次调证才拿到真实数据或干脆无法拿到真实数据的情况,那么对于这种情况整理一些绕过cdn查找真实ip的方法。
一、什么是CDN加速
CDN加速(Content Delivery Network,内容分发网络)是一种通过在全球各地部署服务器节点来加速网络内容传输的技术。通过使用CDN加速服务,网站可以更快地响应用户请求,提升用户满意度,同时也有助于降低网络带宽成本和提高安全性。抓包时就会出现只能抓到CDN的节点而无法抓到真实IP的情况
二、如何判断抓取的IP是否为CDN加速?
1、使用站长工具的在线PING功能https://www.itdog.cn/ping,通过域名反查IP,如查出来IP各地区均不一样则大概率为CDN加速,如仅有1个IP则大概率为真实IP。
有cdn加速器域名解析ip,响应IP为多个ip地址。
三、对CDN加速的IP进行溯源
1、边缘业务的子域名
因为cdn收费,所以微信⼩程序,app客户端,旁站,子域名,c段这些边缘业务程序和服务基本都没有配置cdn,而他们一般和主站用的也是同一个服务器或者同一内网环境,拿到边缘业务的真实ip,一样能进一步拿到目标的真实ip。
2、证书
cdn基于证书的绕过,在域名的证书上很有可能存在目标的真实ip信息,因为如果目标站点有https证书,并且默认虚拟主机配了https证书,我们就可以找所有目标站点是该https证书的站点。
查询证书的在线站点https://search.censys.io/
示例:
第一步是获取网站SSL证书并找到SHA-256指纹并复制
第二步是在网站https://search.censys.io/使用对SHA-256指纹查询就可获取到证书内含有的关键信息。
如果直接使用域名进行查询可以看到解析很多cdn的ip的地址
3、通过各类威胁情报平台分析对域名进行分析
如 https://x.threatbook.com,可以重点关注域名的历史解析记录和子域名。域名的历史解析记录可能包含网站加入CDN之前的域名,通过这些域名可以进行溯源。分析子域名的原因在于很多时候出于运营成本的考虑,只有主站加入了CDN,而子域名未加入。我们可以通过解析出的有价值子域名来查找真实IP,其中有价值子域名指的是与主站处于同一网段的IP。
4、通过关键词、企查查或备案信息检测找出其相关IP。如查找出的域名有明显的命名痕迹,如api.baidu.com,oss.baidul.com,img.baidu.com那么baidu就为关键词。
5、邮箱服务器
注意:cdn是不⽀持邮箱的
如果能找到他的邮箱系统,那么一般是可以拿到它的真实ip的
(1)尝试用DNS历史解析记录查询站点查询第一个目标(主站),会发现结果非常非常多,说明搭建了cdn服务。
(2)而用DNS历史解析记录查询在线查询第二个目标(邮箱系统),会发现结果只有两三个,而且最新的那个记录就是该域名的真实IP。
6、使用国外主机解析域名
国内很多 CDN 厂商因为各种原因只做了国内的线路,而针对国外的线路可能几乎没有,此时我们使用国外的主机直接访问可能就能获取到真实IP。
注意:上面的每种方法都不能说一定能拿到真实ip,中间还要考虑很多因素,这里只简单记录了几种方式,反查实战过程中可灵活思考,多角度判断。