01 CDN服務器趨勢化背景

內容分發網絡(content delivery network或content distribution network，縮寫作CDN)指一種通過互聯網互相連接的電腦網絡系統，利用最靠近每位用戶的服務器，更快、更可靠地將音樂、圖片、視頻、應用程序及其他文件發送給用戶，來提供高性能、可擴展性及低成本的網絡內容傳遞給用戶。

CDN節點會在多個地點，不同的網絡上擺放。這些節點之間會動態的互相傳輸內容，對用戶的下載行為最優化，并借此減少內容供應者所需要的帶寬成本，改善用戶的下載速度，提高系統的穩定性。

CDN網絡的誕生大大地改善了互聯網的服務質量，因此傳統的大型網絡運營商紛紛開始建設自己的CDN網絡，在滲透測試中，為了獲取網站服務器的真實IP信息進行下一步測試，繞過CDN是成為必要的操作。

幾種訪問方式的不同：

傳統訪問：用戶訪問域名–>解析服務器IP–>訪問目標主機；

普通CDN：用戶訪問域名–>CDN節點–>真實服務器IP–>訪問目標主機；

帶WAF的CDN：用戶訪問域名–>CDN節點（云WAF）–>真實服務器IP–>訪問目標主機。

02 判斷CDN方法匯總

2.1 nslookup 域名

使用 nslookup 可以查詢 DNS 的記錄情況，查看域名解析是否正常，使用 nslookup 查詢目標站點的域名，如果存在CDN加速，返回結果：

不存在 CDN 加速，則返回結果如圖所示：

2.2 dig域名

dig（域信息搜索器）命令是一個用于詢問 DNS 域名服務器的靈活的工具。它執行 DNS 搜索，顯示從受請求的域名服務器返回的答復內容。使用 dig 查詢目標站點的域名，如果存在 CDN 加速，返回結果：

不存在 CDN 加速，則返回結果：

2.3 多地 PING

使用多地PING 測試目標站點的域名，因為根據CDN的特性，不同的地理位置會擇優選擇不同的線路，如果存在 CDN 加速，那么不同地點顯示不同的 IP地址，可以判斷網站是否存在CDN，如圖所示：

03 繞過CDN獲取真實IP方法匯總

3.1 子域名繞過

有些網站只做了主域名的CDN ，但子域名或者根域名未做 CDN 加速，所以通過檢測子域名的IP地址可以繞過CDN獲取真實IP 地址：

3.2 ICP備案查詢

在 ICP/IP地址/域名信息備案管理系統可以查詢IP、域名等相關的ICP備案信息，可以通過查詢目標站點的 ICP 備案信息，然后進行主備案號的反查，當然這種情況需要該主備案號下擁有其他已備案的域名：

接下來我們就可以對查詢到的該備案號下的其他域名進行檢測，可能存在同主機搭建多個站點的情況，而有些站點未做CDN 加速，就可以檢測到該主機的真實 IP。

3.3 Dnsdb查詢

在Dnsdb網站https://XXdb.io/zh-cn/輸入XXX.com type:A就能收集子域名和ip了：

3.4 網絡空間引擎搜索法

常見的搜索引擎如鐘馗之眼，shodan，fofa等。以fofa為例，搜索輸入：title=”網站的title關鍵字”或者body=”網站的body特征”就可以找出fofa收錄的包含這些關鍵字的ip域名，可能獲取網站的真實IP地址:

3.5 國外請求

可以使用國外請求來檢測目標站點的真實 IP：

3.6 查詢歷史解析記錄

也有一些站點專門查詢網站的歷史記錄，通過這種類型的網站，可以獲取到目標站點歷史解析的 IP，由此可以找到目標站點的真實 IP，使用XXXX來檢測站點的歷史解析IP：

3.7 網站漏洞查找法

如果目標站點存在漏洞，例如phpinfo敏感信息泄露、Apache status和Jboss status敏感信息泄露、網頁源代碼泄露、svn信息泄露信、github信息泄露、命令執行等，可以通過漏洞找到網站真實ip。

3.8 利用網站發送的郵件

很多網站都是具備郵件發送的功能，網站的郵件系統一般分布都是在內部中的，可以利用發送郵件的功能，來尋找郵件源碼里面包含的服務器的真實IP，比如，郵箱注冊，郵箱找回密碼、RSS郵件訂閱等場景發送郵件獲取真實IP地址。

3.9 通過變更的域名

很多網站在發展的過程中會更換域名，網站在更換新域名時，如果將 CDN 部署到新的域名上，而之前的域名由于沒過期，可能未使用 CDN，因此可以直接獲得服務器 IP。

3.10 通過 APP 移動端應用

如果網站存在APP移動端的應用，可以通過抓包分析其APP的數據流量，看是否能找到網站真實 IP 地址，通常在APP歷史版本中容易獲取更多信息。