01 CDN服務(wù)器趨勢化背景

內(nèi)容分發(fā)網(wǎng)絡(luò)(content delivery network或content distribution network，縮寫作CDN)指一種通過互聯(lián)網(wǎng)互相連接的電腦網(wǎng)絡(luò)系統(tǒng)，利用最靠近每位用戶的服務(wù)器，更快、更可靠地將音樂、圖片、視頻、應(yīng)用程序及其他文件發(fā)送給用戶，來提供高性能、可擴展性及低成本的網(wǎng)絡(luò)內(nèi)容傳遞給用戶。

CDN節(jié)點會在多個地點，不同的網(wǎng)絡(luò)上擺放。這些節(jié)點之間會動態(tài)的互相傳輸內(nèi)容，對用戶的下載行為最優(yōu)化，并借此減少內(nèi)容供應(yīng)者所需要的帶寬成本，改善用戶的下載速度，提高系統(tǒng)的穩(wěn)定性。

CDN網(wǎng)絡(luò)的誕生大大地改善了互聯(lián)網(wǎng)的服務(wù)質(zhì)量，因此傳統(tǒng)的大型網(wǎng)絡(luò)運營商紛紛開始建設(shè)自己的CDN網(wǎng)絡(luò)，在滲透測試中，為了獲取網(wǎng)站服務(wù)器的真實IP信息進行下一步測試，繞過CDN是成為必要的操作。

幾種訪問方式的不同：

傳統(tǒng)訪問：用戶訪問域名–>解析服務(wù)器IP–>訪問目標主機；

普通CDN：用戶訪問域名–>CDN節(jié)點–>真實服務(wù)器IP–>訪問目標主機；

帶WAF的CDN：用戶訪問域名–>CDN節(jié)點（云WAF）–>真實服務(wù)器IP–>訪問目標主機。

02 判斷CDN方法匯總

2.1 nslookup 域名

使用 nslookup 可以查詢 DNS 的記錄情況，查看域名解析是否正常，使用 nslookup 查詢目標站點的域名，如果存在CDN加速，返回結(jié)果：

不存在 CDN 加速，則返回結(jié)果如圖所示：

2.2 dig域名

dig（域信息搜索器）命令是一個用于詢問 DNS 域名服務(wù)器的靈活的工具。它執(zhí)行 DNS 搜索，顯示從受請求的域名服務(wù)器返回的答復(fù)內(nèi)容。使用 dig 查詢目標站點的域名，如果存在 CDN 加速，返回結(jié)果：

不存在 CDN 加速，則返回結(jié)果：

2.3 多地 PING

使用多地PING 測試目標站點的域名，因為根據(jù)CDN的特性，不同的地理位置會擇優(yōu)選擇不同的線路，如果存在 CDN 加速，那么不同地點顯示不同的 IP地址，可以判斷網(wǎng)站是否存在CDN，如圖所示：

03 繞過CDN獲取真實IP方法匯總

3.1 子域名繞過

有些網(wǎng)站只做了主域名的CDN ，但子域名或者根域名未做 CDN 加速，所以通過檢測子域名的IP地址可以繞過CDN獲取真實IP 地址：

3.2 ICP備案查詢

在 ICP/IP地址/域名信息備案管理系統(tǒng)可以查詢IP、域名等相關(guān)的ICP備案信息，可以通過查詢目標站點的 ICP 備案信息，然后進行主備案號的反查，當(dāng)然這種情況需要該主備案號下?lián)碛衅渌褌浒傅挠蛎?/span>

接下來我們就可以對查詢到的該備案號下的其他域名進行檢測，可能存在同主機搭建多個站點的情況，而有些站點未做CDN 加速，就可以檢測到該主機的真實 IP。

3.3 Dnsdb查詢

在Dnsdb網(wǎng)站https://XXdb.io/zh-cn/輸入XXX.com type:A就能收集子域名和ip了：

3.4 網(wǎng)絡(luò)空間引擎搜索法

常見的搜索引擎如鐘馗之眼，shodan，fofa等。以fofa為例，搜索輸入：title=”網(wǎng)站的title關(guān)鍵字”或者body=”網(wǎng)站的body特征”就可以找出fofa收錄的包含這些關(guān)鍵字的ip域名，可能獲取網(wǎng)站的真實IP地址:

3.5 國外請求

可以使用國外請求來檢測目標站點的真實 IP：

3.6 查詢歷史解析記錄

也有一些站點專門查詢網(wǎng)站的歷史記錄，通過這種類型的網(wǎng)站，可以獲取到目標站點歷史解析的 IP，由此可以找到目標站點的真實 IP，使用XXXX來檢測站點的歷史解析IP：

3.7 網(wǎng)站漏洞查找法

如果目標站點存在漏洞，例如phpinfo敏感信息泄露、Apache status和Jboss status敏感信息泄露、網(wǎng)頁源代碼泄露、svn信息泄露信、github信息泄露、命令執(zhí)行等，可以通過漏洞找到網(wǎng)站真實ip。

3.8 利用網(wǎng)站發(fā)送的郵件

很多網(wǎng)站都是具備郵件發(fā)送的功能，網(wǎng)站的郵件系統(tǒng)一般分布都是在內(nèi)部中的，可以利用發(fā)送郵件的功能，來尋找郵件源碼里面包含的服務(wù)器的真實IP，比如，郵箱注冊，郵箱找回密碼、RSS郵件訂閱等場景發(fā)送郵件獲取真實IP地址。

3.9 通過變更的域名

很多網(wǎng)站在發(fā)展的過程中會更換域名，網(wǎng)站在更換新域名時，如果將 CDN 部署到新的域名上，而之前的域名由于沒過期，可能未使用 CDN，因此可以直接獲得服務(wù)器 IP。

3.10 通過 APP 移動端應(yīng)用

如果網(wǎng)站存在APP移動端的應(yīng)用，可以通過抓包分析其APP的數(shù)據(jù)流量，看是否能找到網(wǎng)站真實 IP 地址，通常在APP歷史版本中容易獲取更多信息。