绕过CDN获取服务器真实IP地址
字数 3871 2025-08-12 11:34:33

绕过CDN获取服务器真实IP地址的技术方法

1. CDN简介

CDN (Content Delivery Network) 内容分发网络,使用户就近获取所需内容,降低网络拥塞,提高响应速度。

2. 网络空间搜索引擎技术

2.1 通用搜索方法

通过分析网站关键元素信息进行搜索:

  • 域名
  • IP
  • title
  • ICP备案号
  • logo
  • body内容

示例搜索语法:

domain="sechelper.com" 
cert="*.sechelper.com" 
icon_hash="-614101761" 
title="至察助安" 
icp="津ICP备2022002336号" 
js_md5="82ac3f14327a8b7ba49baa208d4eaa15" 
body="至察助安"

2.2 组合搜索条件

可以结合多种因素进行精准搜索:

asn="37963" && title="至察助安"
city="Beijing" && domain="sechelper.com"
asn="37963" && body="至察助安"

3. 主要网络空间搜索引擎

3.1 Shodan

Shodan是世界上第一个互联网连接设备搜索引擎。

常用搜索语法示例:

语法 说明
HTTP Strict-Transport-Security 需要HTTPS连接的网站
product:Apache Apache web服务器
http.html:Apache 在HTML中包含"Apache"一词的网站
hostname:google.com, facebook.com 主机名包含"google.com"或"facebook.com"的服务
http.component:bootstrap 使用Bootstrap CSS框架的网站
ssl.version:tlsv1.3 支持TLS 1.3的网站
ssl.alpn:h2 支持HTTP/2的网站
ssl.version:sslv2 -ssl.version:tlsv1,tlsv1.2,tlsv1.3 支持SSLv2但不支持TLS的服务
ssl.cert.subject.cn:google.com 为*.google.com颁发证书的SSL服务
ssh port:22,3333 端口22或3333上的SSH
has_screenshot:true 有截图的设备
vuln:CVE-2014-0160 易受心脏出血影响的服务

3.2 FOFA

白帽汇推出的网络空间搜索引擎。

逻辑连接符:

运算符 含义
= 匹配,=""时可查询不存在字段或值为空的情况
== 完全匹配,==""时可查询存在且值为空的情况
&&
`
!= 不匹配,!=""时可查询值为空的情况
~= 正则语法匹配专用
() 确认查询优先级

搜索实例:

语法 说明
title="beijing" 从标题中搜索"beijing"
header="elastic" 从http头中搜索"elastic"
body="商城" 从html正文中搜索"商城"
fid="sSXXGNUO2FefBTcCLIT/2Q==" 查找相同的网站指纹
domain="qq.com" 搜索根域名带有qq.com的网站
icp="京ICP证030173号" 查找指定备案号的网站
js_name="js/jquery.js" 查找包含指定JS文件的资产
js_md5="82ac3f14327a8b7ba49baa208d4eaa15" 查找JS源码匹配的资产
cname="ap21.inst.siteforce.com" 查找指定CNAME的网站
icon_hash="-614101761" 搜索使用此icon的资产
host=".gov.cn" 从url中搜索".gov.cn"
port="6379" 查找对应端口的资产
ip="1.1.1.1" 从ip中搜索
ip="220.181.111.1/24" 查询IP的C网段资产
status_code="402" 查询指定状态码的资产
protocol="quic" 查询quic协议资产
country="CN" 搜索指定国家的资产
city="Beijing" 搜索指定城市的资产
cert="baidu" 搜索证书中带有baidu的资产
cert.subject="Oracle Corporation" 搜索证书持有者是Oracle Corporation的资产
cert.issuer="DigiCert" 搜索证书颁发者为DigiCert Inc的资产
cert.is_valid=true 验证证书是否有效
jarm="2ad...83e81" 搜索JARM指纹
asn="19551" 搜索指定ASN的资产
after="2017" && before="2017-10-01" 时间范围段搜索
app="Microsoft-Exchange" 搜索Microsoft-Exchange设备
server=="Microsoft-IIS/10" 搜索IIS 10服务器
os="centos" 搜索CentOS资产
type="service" 搜索所有协议资产

3.3 ZoomEye

支持对公网开放的IPv4、IPv6及域名地址库进行探测。

逻辑运算:

逻辑词 说明 示例
空格 "或"的运算逻辑 service:"ssh" service:"http"
+ "且"的运算逻辑 device:"router"+after:"2020-01-01"
- "非"的运算逻辑 country:"CN"-subdivisions:"beijing"
() "优先处理"的运算逻辑 (port:"80"+subdivisions:"加利福尼亚州")+before:"2020-01-01"

搜索语法:

地理位置搜索

  • country:"CN" - 搜索国家地区资产
  • subdivisions:"beijing" - 搜索相关指定行政区的资产
  • city:"changsha" - 搜索相关城市资产

证书搜索

  • ssl:"google" - 搜索ssl证书存在"google"字符串的资产

IP及域名信息搜索

  • ip:"8.8.8.8" - 搜索指定IPv4地址相关资产
  • cidr:52.2.254.36/24 - 搜索IP的C段资产
  • org:"北京大学" - 搜索相关组织的资产
  • asn:42893 - 搜索对应ASN相关IP资产
  • port:80 - 搜索相关端口资产
  • site:baidu.com - 搜索域名相关的资产

指纹相关搜索

  • app:"Cisco ASA SSL VPN" - 搜索思科ASA-SSL-VPN的设备
  • service:"ssh" - 搜索对应服务协议的资产
  • device:"router" - 搜索路由器相关的设备类型
  • os:"RouterOS" - 搜索相关操作系统
  • title:"Cisco" - 搜索html内容里标题中存在"Cisco"的数据

时间节点区间搜索

  • after:"2020-01-01" +port:"50050" - 搜索更新时间在指定日期后的资产
  • before:"2020-01-01" +port:"50050" - 搜索更新时间在指定日期前的资产

其他搜索

  • jarm: "29d29d15d29d29d00029d29d29d29dea0f89a2e5fb09e4d8e099befed92cfa" - 搜索相关jarm内容的资产
  • iconhash:"f3418a443e7d841097c714d69ec4bcb8" - 通过md5方式对目标数据进行解析
  • iconhash:"1941681276" - 通过mmh3方式对目标数据进行解析
  • filehash:"0b5ce08db7fb8fffe4e14d05588d49d9" - 通过上传方式进行查询

3.4 Censys

帮助发现并监控互联网上的每台服务器。

4. 其他获取真实IP的方法

4.1 邮件头分析

大型公司邮件服务可能是自建的,从服务器内发出的邮件头会带着IP,这个极有可能是目标真实IP地址。

示例邮件头:

Received: from wfbtxcdk.outbound-mail.sendgrid.net (unknown [159.183.172.209]) 
by mail-m121165.qiye.163.com (HMail) with ESMTP id BF0061E95EC 
for <cookun@sechelper.com>; Thu, 8 Sep 2022 08:41:53 +0800 (CST)

使用nslookup查询MX记录:

$ nslookup
> set q=mx
> sechelper.com
Server:  127.0.0.53
Address: 127.0.0.53#53

Non-authoritative answer:
sechelper.com mail exchanger = 10 mx.ym.163.com.

4.2 DNS域传送漏洞

DNS协议支持使用axfr类型的记录进行区域传送,用来解决主从同步的问题。如果管理员配置不当,会导致DNS域传送漏洞。

检测方法:

nmap --script dns-zone-transfer.nse --script-args "dns-zone-transfer.domain=vulhub.org" -Pn -p 53 192.168.111.133

示例输出:

Starting Nmap 7.80 ( https://nmap.org ) at 2022-09-14 03:45 UTC
Nmap scan report for 192.168.111.133
Host is up (0.00044s latency).
PORT   STATE SERVICE
53/tcp open  domain
| dns-zone-transfer:
| vulhub.org. SOA ns.vulhub.org. sa.vulhub.org.
| vulhub.org. NS ns1.vulhub.org.
| vulhub.org. NS ns2.vulhub.org.
| admin.vulhub.org. A 10.1.1.4
| cdn.vulhub.org. A 10.1.1.3
| git.vulhub.org. A 10.1.1.4
| ns1.vulhub.org. A 10.0.0.1
| ns2.vulhub.org. A 10.0.0.2
| sa.vulhub.org. A 10.1.1.2
| static.vulhub.org. CNAME www.vulhub.org.
| wap.vulhub.org. CNAME www.vulhub.org.
| www.vulhub.org. A 10.1.1.1
|_vulhub.org. SOA ns.vulhub.org. sa.vulhub.org.

4.3 域名解析历史记录

查看域名历史解析记录,可以继续使用查出的IP地址反查域名,能够获取更多信息。可以使用viewdns等工具查询历史记录。

绕过CDN获取服务器真实IP地址的技术方法 1. CDN简介 CDN (Content Delivery Network) 内容分发网络,使用户就近获取所需内容,降低网络拥塞,提高响应速度。 2. 网络空间搜索引擎技术 2.1 通用搜索方法 通过分析网站关键元素信息进行搜索: 域名 IP title ICP备案号 logo body内容 示例搜索语法: 2.2 组合搜索条件 可以结合多种因素进行精准搜索: 3. 主要网络空间搜索引擎 3.1 Shodan Shodan是世界上第一个互联网连接设备搜索引擎。 常用搜索语法示例: | 语法 | 说明 | |------|------| | HTTP Strict-Transport-Security | 需要HTTPS连接的网站 | | product:Apache | Apache web服务器 | | http.html:Apache | 在HTML中包含"Apache"一词的网站 | | hostname:google.com, facebook.com | 主机名包含"google.com"或"facebook.com"的服务 | | http.component:bootstrap | 使用Bootstrap CSS框架的网站 | | ssl.version:tlsv1.3 | 支持TLS 1.3的网站 | | ssl.alpn:h2 | 支持HTTP/2的网站 | | ssl.version:sslv2 -ssl.version:tlsv1,tlsv1.2,tlsv1.3 | 支持SSLv2但不支持TLS的服务 | | ssl.cert.subject.cn:google.com | 为* .google.com颁发证书的SSL服务 | | ssh port:22,3333 | 端口22或3333上的SSH | | has_screenshot:true | 有截图的设备 | | vuln:CVE-2014-0160 | 易受心脏出血影响的服务 | 3.2 FOFA 白帽汇推出的网络空间搜索引擎。 逻辑连接符: | 运算符 | 含义 | |--------|------| | = | 匹配,=""时可查询不存在字段或值为空的情况 | | == | 完全匹配,==""时可查询存在且值为空的情况 | | && | 与 | | || | 或者 | | != | 不匹配, !=""时可查询值为空的情况 | | ~= | 正则语法匹配专用 | | () | 确认查询优先级 | 搜索实例: | 语法 | 说明 | |------|------| | title="beijing" | 从标题中搜索"beijing" | | header="elastic" | 从http头中搜索"elastic" | | body="商城" | 从html正文中搜索"商城" | | fid="sSXXGNUO2FefBTcCLIT/2Q==" | 查找相同的网站指纹 | | domain="qq.com" | 搜索根域名带有qq.com的网站 | | icp="京ICP证030173号" | 查找指定备案号的网站 | | js_name="js/jquery.js" | 查找包含指定JS文件的资产 | | js_md5="82ac3f14327a8b7ba49baa208d4eaa15" | 查找JS源码匹配的资产 | | cname="ap21.inst.siteforce.com" | 查找指定CNAME的网站 | | icon_hash="-614101761" | 搜索使用此icon的资产 | | host=".gov.cn" | 从url中搜索".gov.cn" | | port="6379" | 查找对应端口的资产 | | ip="1.1.1.1" | 从ip中搜索 | | ip="220.181.111.1/24" | 查询IP的C网段资产 | | status_code="402" | 查询指定状态码的资产 | | protocol="quic" | 查询quic协议资产 | | country="CN" | 搜索指定国家的资产 | | city="Beijing" | 搜索指定城市的资产 | | cert="baidu" | 搜索证书中带有baidu的资产 | | cert.subject="Oracle Corporation" | 搜索证书持有者是Oracle Corporation的资产 | | cert.issuer="DigiCert" | 搜索证书颁发者为DigiCert Inc的资产 | | cert.is_valid=true | 验证证书是否有效 | | jarm="2ad...83e81" | 搜索JARM指纹 | | asn="19551" | 搜索指定ASN的资产 | | after="2017" && before="2017-10-01" | 时间范围段搜索 | | app="Microsoft-Exchange" | 搜索Microsoft-Exchange设备 | | server=="Microsoft-IIS/10" | 搜索IIS 10服务器 | | os="centos" | 搜索CentOS资产 | | type="service" | 搜索所有协议资产 | 3.3 ZoomEye 支持对公网开放的IPv4、IPv6及域名地址库进行探测。 逻辑运算: | 逻辑词 | 说明 | 示例 | |--------|------|------| | 空格 | "或"的运算逻辑 | service:"ssh" service:"http" | | + | "且"的运算逻辑 | device:"router"+after:"2020-01-01" | | - | "非"的运算逻辑 | country:"CN"-subdivisions:"beijing" | | () | "优先处理"的运算逻辑 | (port:"80"+subdivisions:"加利福尼亚州")+before:"2020-01-01" | 搜索语法: 地理位置搜索 : country:"CN" - 搜索国家地区资产 subdivisions:"beijing" - 搜索相关指定行政区的资产 city:"changsha" - 搜索相关城市资产 证书搜索 : ssl:"google" - 搜索ssl证书存在"google"字符串的资产 IP及域名信息搜索 : ip:"8.8.8.8" - 搜索指定IPv4地址相关资产 cidr:52.2.254.36/24 - 搜索IP的C段资产 org:"北京大学" - 搜索相关组织的资产 asn:42893 - 搜索对应ASN相关IP资产 port:80 - 搜索相关端口资产 site:baidu.com - 搜索域名相关的资产 指纹相关搜索 : app:"Cisco ASA SSL VPN" - 搜索思科ASA-SSL-VPN的设备 service:"ssh" - 搜索对应服务协议的资产 device:"router" - 搜索路由器相关的设备类型 os:"RouterOS" - 搜索相关操作系统 title:"Cisco" - 搜索html内容里标题中存在"Cisco"的数据 时间节点区间搜索 : after:"2020-01-01" +port:"50050" - 搜索更新时间在指定日期后的资产 before:"2020-01-01" +port:"50050" - 搜索更新时间在指定日期前的资产 其他搜索 : jarm: "29d29d15d29d29d00029d29d29d29dea0f89a2e5fb09e4d8e099befed92cfa" - 搜索相关jarm内容的资产 iconhash:"f3418a443e7d841097c714d69ec4bcb8" - 通过md5方式对目标数据进行解析 iconhash:"1941681276" - 通过mmh3方式对目标数据进行解析 filehash:"0b5ce08db7fb8fffe4e14d05588d49d9" - 通过上传方式进行查询 3.4 Censys 帮助发现并监控互联网上的每台服务器。 4. 其他获取真实IP的方法 4.1 邮件头分析 大型公司邮件服务可能是自建的,从服务器内发出的邮件头会带着IP,这个极有可能是目标真实IP地址。 示例邮件头: 使用nslookup查询MX记录: 4.2 DNS域传送漏洞 DNS协议支持使用axfr类型的记录进行区域传送,用来解决主从同步的问题。如果管理员配置不当,会导致DNS域传送漏洞。 检测方法: 示例输出: 4.3 域名解析历史记录 查看域名历史解析记录,可以继续使用查出的IP地址反查域名,能够获取更多信息。可以使用viewdns等工具查询历史记录。