CDN ByPass

简介

什么是CDN加速？

CDN的全称是 Content Delivery Network，即内容分发网络，这个概念是1998年提出的。当时美国麻省理工大学(MT)的一批研究生通过分析当时 Internet E的网络状况，提出了一套能够实现用户就近访问的解决方案，最终设计并实现了其独有的系统。

CDN有什么作用？

CDN基本思路就是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。CDN核心的就是使用户可就近访问网络,取得所需内容，解决网络拥挤的状况，明显提高用户访问网站的响应速度或者用户下载速度。

对用户来说，如果一个网站开启了CDN，用户访问速度或者下载速度相比之前会更快。一般来说，网站开启CDN之后，可以提升用户体验。

CDN对网站有什么好处？

首先，开启CDN后的网站，会根据用户所在地的不同访问CDN的节点服务器，并不直接访问源服务器，这样可以减少网站服务器宽带资源，降低服务器压力。这也就是大家都在ping百度，但是不同地区得到的反馈ip不一样的原因。

其次，由于CDN节点的阻挡防护，可以更好的保护员服务器的安全。具体来说，CDN其实是充当了一个替身的角色，无论服务器是渗透还是DD0S攻击，攻击的目标都将是CDN节点，这样一来便间接的保护了网站本身。

验证是否使用CDN

多地Ping服务

使用各种多地 ping 的服务，查看对应 IP 地址是否唯一，如果不唯一，多半是使用了CDN， 多地 Ping 网站有：

• http://ping.chinaz.com/
• http://ping.aizhan.com/
• http://ce.cloud.360.cn/
• https://www.17ce.com/

使用nslookup

使用 nslookup 进行检测，原理同上，如果返回域名解析对应多个 IP 地址多半是使用了 CDN。

绕过CDN找到真实IP

一、主动连接我们

让目标主动暴漏他们的真实IP：

1. 发邮件
2. RSS邮件订阅
3. 利用网站漏洞：比如有代码执行漏洞、SSRF、存储型的XSS都可以让服务器主动访问我们预设的web服务器，那么就能在日志里面看见目标网站服务器的真实IP。

二、查询DNS历史记录

1. DNS缓存查询：这里主要是利用管理员疏忽，通过DNS缓存查询，查看 IP 与 域名绑定的历史记录，可能会存在使用 CDN 前的记录，相关查询网站有：
   • https://dnsdb.io/zh-cn
   • https://x.threatbook.cn
   • https://toolbar.netcraft.com
   • https://viewdns.info
2. 利用SecurityTrails攻击者就可以精准的找到真实原始IP，只需在搜索字段中输入网站域名，然后按Enter键即可，这时“历史数据”就可以在左侧的菜单中找到。SecurityTrails平台除了过去的DNS记录，即使是当前的记录也可能泄漏原始服务器IP。例如，MX记录是一种常见的查找IP的方式。如果网站在与web相同的服务器和IP上托管自己的邮件服务器，那么原始服务器IP将在MX记录中。

三、查询子域名

毕竟 CDN 还是不便宜的，所以很多站长可能只会对主站或者流量大的子站点做了 CDN，而很多小站子站点又跟主站在同一台服务器或者同一个C段内，此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。

下面介绍些常用的子域名查找的方法和工具：

1. https://dnsdb.io/zh-cn
2. Google 搜索；例如：用语法”site:baidu.com -www”就能查看除www外的子域名。
3. 子域名扫描器

四、网络空间搜索引擎

最常见的网络空间搜索引擎有钟馗之眼、shodan、fofa搜索。

1. 钟馗之眼
2. Shodan
3. FOFA

这里主要是利用网站返回的内容寻找真实原始IP，如果原始服务器IP也返回了网站的内容，那么可以在网上搜索大量的相关数据。只需要浏览网站源代码，寻找独特的代码片段。

在JavaScript中使用具有访问或标识符参数的第三方服务（例如Google Analytics、reCAPTCHA、统计）是攻击者经常使用的方法。或者说用title，毕竟竟每个网站的title基本上都是独一无二的。 以fofa为例：可以直接以 title=””来搜索。

再配合最常见的网络空间搜索引擎就可以轻而易举的找到网站的真实的IP。

五、利用SSL证书寻找真实原始IP

以CloudFlare这款CDN加速器举例：假如你在 abc.com 上托管了一个服务，原始服务器IP是136.23.63.44。 而CloudFlare则会为你提供DDoS保护，Web应用程序防火墙和其他一些安全服务，以保护你的服务免受攻击。

为此，你的Web服务器就必须支持SSL并具有证书，此时CloudFlare与你的服务器之间的通信，就像你和CloudFlare之间的通信一样，会被加密（即没有灵活的SSL存在）。这看起来很安全，但问题是，当你在端口443（https://136.23.63.44:443）上直接连接到IP时，SSL证书就会被暴露。

此时，如果攻击者扫描0.0.0.0/0，即整个互联网，他们就可以在端口443上获取在 aaa.com上的有效证书，进而获取提供给你的Web服务器IP。

目前Censys工具就能实现对整个互联网的扫描，Censys是一款用以搜索联网设备信息的新型搜索引擎，安全专家可以使用它来评估他们实现方案的安全性，而黑客则可以使用它作为前期侦查攻击目标、收集目标信息的强大利器。

Censys搜索引擎能够扫描整个互联网，Censys每天都会扫描IPv4地址空间，以搜索所有联网设备并收集相关的信息，并返回一份有关资源（如设备、网站和证书）配置和部署信息的总体报告。

而攻击者唯一需要做的就是把上面用文字描述的搜索词翻译成实际的搜索查询参数。

Censys证书查询搜索步骤如下：

1. aaa.com 证书的搜索查询参数为：parsed.names：aaa.com，只显示有效证书的查询参数为：tags.raw：trusted，攻击者可以在Censys上实现多个参数的组合，这可以通过使用简单的布尔逻辑来完成。
2. 组合后的搜索参数为：parsed.names: aaa.com and tags.raw: trusted
3. Censys将向你显示符合上述搜索条件的所有标准证书。要逐个查看这些搜索结果，攻击者可以通过单击右侧的“Explore”，打开包含多个工具的下拉菜单。What’s using this certificate? > IPv4 Hosts；
   

隐藏服务具有SSL证书，要查找它使用的IPv4，只需将”SHA1 fingerprint”（签名证书的sha1值，也就是SHA1指纹）粘贴到Censys平台IPv4主机搜索中，即可找到证书，使用此方法可以轻松找到配置错误的Web服务器真实IP。

使用给定的SSL证书查找原始IP可以做很多事情，例如：如果你是执法部门的人员，想要找出一个隐藏在cheesecp5vaogohv.onion下的儿童色情网站。最好的办法，就是找到其原始IP，这样你就可以追踪到其托管的服务器，甚至查到背后的运营商以及金融线索。

六、全网扫描

扫描全网开放特定端口的IP，然后获取他们的特定页面的HTM源代码，用这些源代码和目标网站的特定页面的HTM源代码做对比，如果匹配上来了，就很可能是目标网站的真实P，工具匹配会匹配出来很多，最后还是要人工筛选。

1. 钟馗之眼、Shodan、FOFA空间搜索引擎，这里推荐用FOFA
   第一步：打开fofa；第二步：title=”” 得到IP；第三步：再用  ip==”” 做对比。
2. 用Zmap扫全网

wget http://www.ipdeny.com/ipblocks/data/countries/hk.zone #香港IP 
zmap -w hk.zone -p 80 -B 100M -o hk.res
./zgrab -input-file=hk.res -senders=2000 -data-"./http-reg" | grep -E 'memberlogin' >> x.txt

wget -c http://ftp.apnic.net/stats/apnic/delegated-apnic-latest #全网IP

七、其它思路

1. 利用网站敏感信息：比如 phpinfo. php，这个就要看字典了。
2. 国内很多CDN厂商因为各种原因只做了国内的线路，而针对国外的线路可能几乎没有，此时我们使用国外的主机直接访问可能就能获取到真实IP。