近日HVV培训以及面试，有人问了CDN该如何绕过找到目标真实IP，这向来是个老生常谈的问题，而且网上大多都有，但是有些不够全面，今天把绕过CDN全理一理。术语叫做“深入浅出”。

　CDN简介

　定义

　内容分发网络（英语：Content Delivery Network或Content Distribution Network，缩写：CDN）是指一种透过互联网互相连接的电脑网络系统，利用最靠近每位用户的服务器，更快、更可靠地将音乐、图片、视频、应用程序及其他文件发送给用户，来提供高性能、可扩展性及低成本的网络内容传递给用户。

　CDN是利用缓存技术，解决如何将数据快速可靠从源站传递到用户的问题。用户获取数据时，不需要直接从源站获取，通过CDN分发，用户可以从一个较优的服务器获取数据，从而达到快速访问，并减少源站负载压力的目的（负载均衡）

　工作过程

1. 用户在浏览器输入域名，先向DNS服务器发送请求
2. DNS服务器将域名解析权交（通过CNAME）给CDN专用DNS服务器
3. 客户端根据返回的ip访问CDN负载均衡设备
4. 负载均衡设备根据当前的负载情况和用户所需内容，返回合适的ip
5. 客户端最后根据ip访问对应的CDN缓存服务器

　优点

1. 缓解原服务器访问压力
2. 解决互联互通难题
3. 解决网站突发流量的问题
4. 合理利用互联网资源
5. 全面预防单点故障
6. 改善用户的访问的质量和体验
7. 提供全面、准确、和详细的数据统计
8. 有效的防治黑客攻击源站

......

　适用范围

　一般来说以资讯、内容等为主的网站，具有一定访问体量的网站

• 静态内容（html、js、css、image等，如图床）
• 视音频、大文件下载，分发加速：哔哩哔哩、腾讯等视频，百度云盘、蓝奏云等
• 视频直播加速：斗鱼、淘宝、虎牙直播
• 移动应用加速：移动App内图片、页面、短视频、UGC等内容，小程序等

　像直播这一类必有CDN，因为一个网站直播流涌入大量用户，现在任何一家直播平台都没有直接负载的服务器能力。看直播再快的网速都有一定延迟的原因之一就是，需要在CDN里缓存一部分，用户从CDN里观看。

　判断是否存在CDN

　方法一：PingPingPing

　不同地区对应着不同的CDN中心，所以使用不同站点的ping服务可分配到不同的CDN。这很简单，使用各种多站点ping服务来检查对应的IP地址是否唯一。如果不是唯一的，则使用大多数 CDN。多站Ping网站为：

　
http://ping.chinaz.com/http://ping.AIzhan.com/http://tools.ipip.NET/ping.php （强烈推荐这个，这个默认多站ping，真的很多）

【----帮助网安学习，以下所有学习资料关注我，私信回复“资料”获取----】

　① 网安学习成长路径思维导图

　② 60+网安经典常用工具包

　③ 100+SRC漏洞分析报告

　④ 150+网安攻防实战技术电子书

　⑤ 最权威CISSP 认证考试指南+题库

　⑥ 超1800页CTF实战技巧手册

　⑦ 最新网安大厂面试题合集（含答案）

　⑧ APP客户端安全检测指南（Android/ target=_blank class=infotextkey>安卓+IOS）

　方法二：nslookup

　使用 nslookup 进行检测，原理同上，如果返回域名解析对应多个 IP 地址多半是使用了 CDN。

　有 CDN 的示例：

> ctfking.com
服务器:  public1.alidns.com
Address:  223.5.5.5

非权威应答:
名称:    d831e3eec87f7d3c02a6-mini-l2.qcloudzygj.com
Addresses:  106.55.85.170
          106.55.85.167
          106.55.86.71
Aliases:  ctfking.com
          d14ca549ac628ef817e7beaa5095976f.qcloudwzgj.com

　无CDN的示例：

> nbufe.edu.cn
服务器:  public1.alidns.com
Address:  223.5.5.5

名称:    nbufe.edu.cn

　方法三：工具

　CDN Finder

　CDN绕过

　方法一：查询DNS解析记录

　1.查看IP与域名绑定的历史记录。使用 CDN 之前可能有记录。相关查询网站为：

　Dnsdb

　微步在线

　Netcraft

　IPIP（没错又是这个网站，它太猛了）

　2.借助Securitytrails平台（
https://securitytrails.com/）

　攻击者可以查明真实的原始IP。他们只需在搜索字段中输入站点域名并按 ENTER，即可在左侧菜单中找到“历史数据”。

　如何找到隐藏在 CloudFlare 或 Tor 背后的真实原始 IP？

　除了过去的 DNS 记录，即使是当前的记录也可能泄露原始服务器 IP。例如，MX 记录是查找 IP 的常用方法。如果网站在与 Web 相同的服务器和 IP 上托管自己的邮件服务器，则原始服务器 IP 将在 MX 记录中。

　方法二：查询子域名

　毕竟CDN还是不便宜，所以很多站长可能只会在主站或者流量大的子站做一个CDN，而很多小站子站跟主站在同一个服务器或者同C段，此时可以通过子域对应的IP查询，帮助找到真实IP站点。

微步在线

上面提到的微步在线功能强大，黑客只需输入域名即可查找（如baidu.com），点击子域选项即可找到其子域，但免费用户每月只有5次免费查询机会。

Dnsdb

黑客只需要输入baidu.com TYPE:A就可以收集到百度的子域名和IP。

google

谷歌站点：baidu.com-www 可以看到除WWW以外的子域

子域扫描器

Layer子域名挖掘机和lijiejie的subdomain那个工具都很不错

推荐长亭的xray

　方法三：网络空间引擎

　fofa、鹰图、Zoomeye、shodan、360

　推荐鹰图

　只需输入：title:“网站的title关键字”或者body：“网站的body特征”就可以找出收录的有这些关键字的ip域名，很多时候能获取网站的真实ip

　方法四：使用SSL证书寻找真实原IP

　如果您在 xyz123boot.com 上托管服务，则原始服务器 IP 为 136.23.63.44。CloudFlare 将为您提供 DDoS 防护、Web 应用防火墙和其他一些安全服务，以保护您的服务免受攻击。为此，您的 Web 服务器必须支持 SSL 并具有证书。此时，CloudFlare 与您的服务器之间的通信，就像您与 CloudFlare 之间的通信一样，将被加密（即没有灵活的 SSL）。这看起来很安全，但问题是当你直接连接到443端口（https://136.23.63.44:443）上的IP时，会暴露SSL证书。

　此时，如果攻击者扫描0.0.0.0/0，整个互联网，就可以在xyz123boot.com的443端口获取有效证书，进而获取提供给你的web服务器IP。

　目前，Censys 工具可以扫描整个互联网。Censys 是用于搜索联网设备信息的新搜索引擎。安全专家可以使用它来评估其实施的安全性，黑客可以使用它作为初步调查。攻击目标和收集目标信息的强大武器。Censys 搜索引擎可以扫描整个互联网。Censys每天扫描IPv4地址空间，搜索所有联网设备并收集相关信息，并返回资源（如设备、网站、证书等）配置和部署的整体报告。

　攻击者唯一需要做的就是将上述搜索词转换为实际的搜索查询参数。

　xyz123boot.com证书的搜索查询参数为：parsed.names: xyz123boot.com

　只显示有效证书的查询参数为：tags.raw:tRusted

　攻击者可以在 Censys 上实现多个参数的组合，这可以通过使用简单的布尔逻辑来完成。

　组合的搜索参数是：parsed.names：xyz123boot.com 和 tags.raw：trusted

　Censys 将向您显示在扫描中找到的符合上述搜索条件的所有标准证书。

　要一一查看这些搜索结果，攻击者可以通过单击右侧的“探索”来打开一个包含多个工具的下拉菜单。什么在使用这个证书？> IPv4 主机

　使用给定的 SSL 证书

　如果您是执法人员，并且想找到隐藏在 cheesecp5vaogohv.onion 下的儿童色情网站。最好的办法是找到它的原始IP，这样就可以追踪它的托管服务器，甚至可以找出它背后的运营商和财务线索。

　隐藏服务具有 SSL 证书。要查找它使用的 IPv4 主机，只需将“SHA1 指纹”（签名证书的 sha1 值）粘贴到 Censys IPv4 主机搜索中即可找到证书。这种方法很容易找到配置错误的Web服务器。

　方法五：使用HTTP头找到真正的原始IP

　借助 SecurityTrails 这样的平台，任何人都可以在海量的大数据中搜索自己的目标，甚至可以通过比较 HTTP 标头找到原始服务器。

　特别是当用户有一个非常特殊的服务器名称和软件名称时，攻击者更容易找到你。

　如果要搜索的数据很多，如上所述，攻击者可以在 Censys 上组合搜索参数。假设您正在与 1500 个 Web 服务器共享您的服务器 HTTP 标头，所有这些服务器都发送相同的标头参数和值组合。而且您还使用新的 PHP 框架来发送唯一的 HTTP 标头（例如：X-Generated-Via: XYZ 框架），目前约有 400 位网站管理员使用该框架。最终，在三台服务器的交汇处，通过人工操作即可找到IP，整个过程仅需几秒。

　例如，Censys上用于匹配服务器头的搜索参数为
80.http.get.headers.server:，查找CloudFlare服务的网站的参数如下：

　
80.http.get.headers.server:cloudflare

　方法六：利用网站返回的内容寻找真实的原IP

　如果原服务器IP也返回网站内容，可以在网上搜索很多相关资料。

　浏览网站源代码以查找独特的代码片段。在 JAVAScript 中使用具有访问权限或标识符参数的第三方服务（例如 Google Analytics、reCAPTCHA）是攻击者经常使用的一种方法。

　以下是从 HackTheBox 网站获得的 Google Analytics 跟踪代码示例：

　ga('创建','UA-93577176-1','auto');80.http.get.body 可以使用：参数通过body/source过滤Censys数据。不幸的是，普通搜索字段有局限性。但是您可以在 Censys 请求研究访问权限，这使您可以通过 Google BigQuery 进行更强大的查询。

　Shodan 是一个类似于 Censys 的服务，同样提供 http.html 搜索参数。

　搜索示例：
https://www.shodan.io/search?query=http.html%3AUA-32023260-1

　方法七：使用外地主机解析域名

　国内很多CDN厂商因为各种原因只做国内线，国外线路可能几乎没有。这时候我们可能会使用外地主机直接访问真实IP。

　方法八：网站漏洞搜索

1. 目标敏感文件泄露，如phpinfo、Github信息泄露等探针
2. XSS盲打、命令执行反向shell、SSRF等
3. 无论是社会工程还是其他手段，目标网站获取CDN中的管理员账号，在CDN的配置中可以找到网站的真实IP。

　方法九：网站邮件订阅搜索

　RSS邮件订阅，很多网站都有自己的sendmail，会发邮件给我们。此时，服务器的真实IP将包含在邮件的源代码中。

　方法十：用Zmap扫描全网

　要找到xiaix.me网站的真实IP，我们首先从apnic获取IP段，然后使用Zmap的banner-grab扫描出开放80端口的主机进行banner抓包，最后在Host中写入xiaix.me http请求。

　方法十一：F5 LTM解码方法

　服务器使用F5 LTM进行负载均衡时，也可以通过set-cookie关键字解码得到真实ip，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，第一个小数部分的十进制数是487098378取出来，然后转换成十六进制数1d08880a，然后从后往前，取出四位数字，就是0a.88.08.1d，最后再转换成十进制数10.136.8.29，也是最后一个真实IP。

　方法十二：网页敏感信息

　这条思路来源于Jacko

　favicon哈希值

　根据网站图标哈希值搜索IP

　Python/ target=_blank class=infotextkey>Python2脚本

import mmh3
import requests
response = requests.get('https://example.com/favicon.ico')
favicon = response.content.encode('base64')
hash = mmh3.hash(favicon)
print 'http.favicon.hash:'+str(hash)

　去fofa或者shodan上搜索该哈希值

　查询格式：

• fofa：icon_hash="xxx"
• shodan：http.favicon.hash:xxx

　HTML源代码检索查找IP

　根据网站页面HTML中特有的字符串去搜索引擎中搜索，如目标页面中由HTML标签为<title>的字段比较特殊，那么可以去FOFA中搜索：

title="xxxxxxxxxxxxxxx"

　搜索到的结果会显示IP，访问该IP，若能够正常访问则为真正IP，如果打不开则为CDN或虚拟主机服务器

　参考文章：

Jacko CDN

How to bypass the CDN to query the real IP of a website