На мауле тут задали вопрос на счет того, каким образом можно узнать реальный IP адрес сайта, чьи DNS хостятся на Cloudflare.
CDN, коим является Cloudflare может служить как силам добра, то есть выступать балансером нагрузки и прикрышкой от злыдней с их DDoS атаками, так и быть отличной прикрышкой для злодеев, пытающихся заныкаться от абуз, в случае сомнительного контента, спама или банальной кражи контента.
Так что методики обнаружения реального IP сайта за CDN могут также служить как силам добра, так и зла. И я искренне надеюсь что применять их будут за все хорошее, против всего плохого.
Собственно CDN это фактически реверсивный прокси, чья задача забирать с вебсервера бэкэнда диманический контент и преобразовывать его в статический, который и отдавать пользователю. Если админ грамотный и все корретно настроил, то определить IP бэкэнда нереально, но грамотные админы случаются не часто, т.ч при переезде на CDN Cloudflare могли остаться следы, которые мы и постараемся обнаружить:
- CND Cloudflare могли подключать к уже существовавшему хостингу, а не переезжать на новый для подключения, т.ч для начала стоит пробить историю whois и изменения IP адресов – в интернете достаточно публичных сервисов, хранящих эту историю;
- если на сайте возможно зарегистрироваться, то сделайте это и дождитесь письмо регистрации, после чего просмотрите заголовки- с большой вероятностью оно отправляется именно с сервера с сайтом, т.ч IP будет в поле Sender;
- попробовать проверить на данном публичном сервисе;
- поковырять DNS – для начала выяснить наличие записей MX и FTP и пингануть их, вполне вероятно что они будут ссылаться на основной IP, если это не получится то прочекаться субдомены connect.DOMAINNAME.COM & direct.DOMAINNAME.COM, если и это не помогло, то попробовать брутфорс зоны для выясления дополнительных субдоменов и пинговать уже их;
- если на сайте есть форум, то можно попробовать подсунуть ему аватарку с сайта iplogger.org: нажимаем “Generate an invisible IPLogger” -> копируем урл из поля “Link to the untagged invisible picture” -> вставляем его в аватар на форуме, на что форум матюгнется, т.к изображение слишком маленькое, но это не страшно -> на Iplogger жмем View Log и рефрешим какое то время, пока у нас не появится IP адрес, который будет адресом хостинга картинок, и с большой вероятностью именно адресом сайта
7 Комментариев
-
Бинар сказал:
Всё таки не получается определить где сайт, если он скрыт за CloudFlare с настройками полностью пропускать трафик через него
[Reply]
-
Не скажу сказал:
Спасибо за подробности:) Но в 99% случаев достаточно пингануть mail.domain.com, что и делают cloudflare resolver’ы
[Reply]
anchous Reply:
February 24th, 2017 at 19:49ну ща cloudflare прилюдно обосрался, ибо оказалось что они дампили кэш HTTPS сессий в паблики, так что люди нашли какие то пароли, сообщения, ключики и много чего интересного
https://github.com/pirate/sites-using-cloudflareв том числе и ипы сессий с той и другой стороны
[Reply]
-
Не скажу сказал:
Ору кстати с твоего ника)))
[Reply]
-
Михаил сказал:
Добрый день.
Спасибо за инфу.
Скажите, если мой сайт за cloudflare и я этим сайтом парсю контент с другого сайта. То на этом сайте могут вычислить от куда идет парсинг.[Reply]
anchous Reply:
September 18th, 2021 at 17:27парсинг, если не использовать прокси, идет с основного айпи, т.ч если сайт висит на нем, то да – все как на ладони
[Reply]
anchous Reply:
October 13th, 2016 at 23:03
ну если тупо долбиться в CDN то само собой разумеется
[Reply]