灵魂第一问:什么是CDN?
CDN(Content Delivery Network,内容分发网络)将源站的内容发布到接近用户的网络"边缘",用户可以就近获取所需数据,不仅降低了网络的拥塞状况、提高请求的响应速度,也能够减少源站的负载压力。CDN 可通过缩短服务器与用户之间的物理距离最大限度减少加载网页内容时出现的延迟。其目的是使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。
一句话概括:CDN 是离你最近的内容缓存服务器。
CDN加速节点
灵魂第二问:怎么判断CDN?
方法一:多地ping检测
使用在线ping服务:
https://ping.chinaz.com/
https://tools.ipip.net/ping.php
https://ping.aizhan.com/
多地ping检测
方法二:nslookup+域名
进入cmd,使用nslookup命令
nslookup命令检测
灵魂第三问:如何溯源CDN加速后的真实IP
方法一:查询历史DNS记录
查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录。
CDN 可能是在网站上线一段时间后才上线,因此可以通过查找域名解析记录的方式去查找真实IP。
DNSdumpster:
https://dnsdumpster.com/
Viewdns:
https://viewdns.info/
Robtex:
https://www.robtex.com/dns-lookup/
VirusTotal:
https://www.virustotal.com/gui/home/search
PassiveDNS记录:
https://passivedns.mnemonic.no/
方法二:查询子域名
使用了CDN域名的子域名不一定使用了CDN,可以通过这种方式去查找对应的IP。
https://x.threatbook.cn/
https://securitytrails.com/
查询子域名获取到真实IP
方法三:使用国外 IP 访问域名
国内 CDN 厂商可能只做了国内线路而没有做国际线路,有一定概率能获取到真实 IP。
方法四:利用网站漏洞获取真实 IP
如 phpinfo 信息泄露、反弹 shell、svn 信息泄露、github 信息泄露等。
方法五:MX 记录或网站邮件头信息
通过目标网站的邮箱注册、邮箱找回密码、RSS邮件订阅等功能场景,也可通过社会工程学的方式进行邮件沟通,从邮件头中获取IP地址,IP地址可能是网站的真实IP或者是目标的出口IP。
网站所发的邮箱
网站邮件头信息
方法六:SSL证书查询
通过搜索网站 SSL 证书信息,有时候可以得到目标网站暴露的真实IP。
https://search.censys.io/
https://duyaoss.com/
https://search.censys.io/网站
SSL信息
灵魂第四问:如何验证溯源后的IP是否正确?
方法一:利用IP地址对Web站点进行访问,如果正常访问则是真实IP地址,否则不为真。
方法二:如果直接用 IP 不能访问,那就本地 hosts 绑定域名跟 IP,看看响应的页面是不是和访问域名返回的一样。
总结:
本文中,从“什么是CDN。如何判断CDN。怎么溯源CDN加速后的真实IP以及如何验证是否是真实IP。”这四个问题进行阐述。深刻介绍了CDN加速的原理。但具体的案件还需具体探讨。欢迎关注微信公众号“小谢取证”私信交流!
1031
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
