信息收集—CDN绕过

前言：CDN的全称是Content Delivery Network，即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。但在安全测试过程中，若存在CDN服务，将会影响到后续的安全测试过程

如何判断目标存在CDN服务
利用多节点技术进行请求返回判断
在线查询网站： 超级ping
当ping出来的返回IP地址都是一样的时候，就证明没有CDN

像这样的就没有CDN服务

当ping出来的响应IP地址不一样的时候就证明有CDN

目前常见的CDN绕过技术有哪些
1. 子域名查询

从经济来讲，主站关注点更高，为了节约成本，主站做CDN服务，子域名分站可能没有做CDN服务。所以如果子域名没有做CDN服务，它的真实IP可以推出主站IP。一般来说，主站跟分站在一个段内；

子域名的查询：在线子域名二级域名查询

子域名小技巧
一般情况下，www.XXX.com和XXX.com指向的是同一个DNS服务器，进入XXX.com会自动跳转到www.XXX.com，所以XXX.com不需要大流量，不用做CDN。如果加www检测不出来，可以试着去掉，或许就可以得到真实IP了。

这样子设置就是两个意义。

m.xxx.com是手机站点和上面子域名小技巧是一个意思。

2. 邮件服务查询

很多公司内部都会有一个邮件服务器，正规的好的公司都会有自己的邮箱地址，内部会有邮箱服务器，一般没必要去做CDN。这里会有正向反向的差别，邮件服务器是对方发邮件给你，它来找你，这样它的真实IP地址就会泄露，根据对方邮件服务器给我们发送的邮件，来判定对方邮件服务器的地址。

3. 国外地址请求

有些网站为了节约成本，它会只考虑它的客户群体的地区来做一个CDN节点的部署，而不会布置到国外去，如果通过国外地址去请求国内的目标，很容易找到真实IP地址，因为它的节点没有布置到国外。
这里用到一款全球ping扫工具，热度越低的国家，效果越好。
全球ping： IPIPtools

4. 遗留文件，扫描全网

一些站点在搭建之初，会用一些文件测试站点，例如“phpinfo()”文件，此类文件里就有可能包含了真实的IP地址。可以利用Google搜索引擎搜索关键字“site:xxx.com inurl:phpinfo.php”，搜索站点是否有遗留文件。

扫描全网：
在上面的方法不行的时候采取的一个究极办法，借助一些工具、软件或者平台，把全世界的网络对你的网站进行访问，判断一下响应IP，通过IP地址的收集整理，把节点访问的IP地址全部收集下来，去分析哪一个可能是真实IP地址。
因为不可能每个地区都有CDN节点，真实IP一定在收集的里面，至少服务器所在地区应该没有CDN服务，把所有可能性收集在一起，直到找到真实IP地址。

5. 黑暗引擎搜索特定文件

黑暗搜索引擎就是另类的百度、谷歌，有shodan，zoomeye、fofa。

会有搜索特定关键词，更加的实时，可以搜索指定文件；
这里的特定文件，指的是站点的icon文件，也就是网站的图标，一般查看网页源代码可以找到，格式大致“http://www.xx.com/favicon.ico”。在shodan搜索网站icon图标的语法为：http.favicon.hash:hash值，hash是一个未知的随机数，我们可以通过shodan语法来查看一个已经被shodan收录的网站的hash值，来进一步获取到所有带有某icon的网站。

通过icon_hash结合暗黑搜索引擎获取目标的IP地址等信息：

icon/icon是一种图标格式，这种图标的格式扩展名为：icon/.ico，常见于Windows系统的桌面图标，网址导航栏的小图标。

icon文件是一种图标文件，一个icon文件可以包含多个尺寸的图片

获取ico/icon的方式：

很多网站在主域名后面添加/favicon.ico即可得到网站的icon

按Ctrl+U查看页面的源码，在源码中寻找以.jpg/.png/.ico这样的图片扩展名结尾的链接

此操作需要通过谷歌搜索，http://www.google.com/s2/favicons?domain=网站地址

在得到站点的icon后，进行一下几个操作：

1.获取站点的目标哈希值

2.使用获得的哈希值搜索其他使用相同图标的站点（原因是：哈希值是通过特定的算法从图标的数据中生成的一串字符，用于唯一标识的图标，在信息搜集的过程中，可以通过站点图标的哈希值进行不同站点的关联和反查，这意味着，如果两个或多个站点使用相同的图标，他们的哈希值也是相同的）

3.一旦找到相关站点，可以进一步的收集有关站点的信息，如IP地址，域名信息，服务信息等

在这里可以采用Shodan搜索引擎，下面是Shodan在渗透测试及漏洞挖掘中的一些用法 - 喵大人-sec - 博客园 (cnblogs.com)

版权声明：本文为CSDN博主「人生就是为了Coding」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/m0_70990101/article/details/133964719

6. DNS历史记录，以量打量

通过查询网站相关的DNS记录，以前这个网站没使用CDN服务，会遗留一些服务，找到没有设置CDN时的历史记录，找到IP地址，有可能就是真实IP地址。

“以量打量”就是常说的ddos攻击或者说是流量耗尽攻击，在网上开CDN的时候，都会分地区流量，就比如这个节点有100M流量，当这流量用完后，用户再访问就会访问网站真实的ip地址。
这样攻击属于违法的，并不推荐。

演示案例
1. 利用子域名请求IP真实地址
我们在这边ping一下学而思的域名；

发现找不到它的真实IP地址；

但是我们去ping下面xueersi.com这个域名时

可以看出来，真实IP地址不是124.250.113.71 就是124.250.113.72。
注：学而思IP已改

2. 利用第三方接口查询获取真实IP

第三方接口网站:

Get Site Ip
微步在线

用上面的网站来查询学而思的真实IP地址

真实IP地址为124.250.113.72

3. 利用邮件服务器接口获取真实IP

mozhe 邮件源码测试对比第三方查询（地区分析）

收到一份墨者的邮件，点开圈红的地方

然后可以看到“显示邮件全文”几个字

得到了疑似真实IP地址

然后查询这个IP地址所在的位置，在重庆

墨者的公司也在重庆，基本上可以确定是真实IP地址（社工）