可通过五种方法探测CDN后的真实服务器IP:一、查询未启用CDN的二级域名;二、检索历史DNS解析记录;三、调用境外冷门DNS服务器解析;四、分析邮件头与SSL证书透明度日志;五、探测PHPINFO页面及RSS源泄露。
如果您尝试获取使用CDN加速的网站背后的真实服务器IP地址,但常规DNS解析仅返回CDN节点IP,则可能是由于CDN屏蔽了源站暴露。以下是多种可独立验证的查询方法:
一、查询未启用CDN的二级域名
多数网站仅对主域名(如www.example.com)启用CDN,而测试类、邮件类或博客类二级域名(如mail.example.com、blog.example.com、dev.example.com)常被遗漏,仍直接解析至源站IP。即使该IP不完全等同于主站IP,也极可能位于同一C段内,具备进一步探测价值。
1、使用搜索引擎指令:在Google或Bing中输入 site:example.com -www 或 inurl:example.com intitle:"powered by" 检索潜在二级域名。
2、对检索出的每个二级域名执行 nslookup mail.example.com 或 dig A mail.example.com +short 获取其A记录IP。
3、若获得IP,使用 nmap -p80,443 [IP] 验证80/443端口是否开放;若开放,用浏览器访问该IP并比对页面内容与主站一致性。
二、利用历史DNS解析记录
域名在接入CDN前的历史A记录往往保留源站真实IP,尤其当管理员未主动清理历史数据时。多个第三方平台长期存档全球DNS变更日志,可直接回溯早期解析结果。
1、访问 https://toolbar.netcraft.com/site_report?url=example.com,输入目标域名,查看“Historic hostnames”与“IP Address History”栏目。
2、同步查询 https://securitytrails.com/list/ns/example.com,筛选NS服务器变更前后对应的IP归属。
3、在 https://viewdns.info/iphistory/?domain=example.com 中输入域名,导出全部历史IP列表,并剔除明显为CDN厂商ASN的地址(如Cloudflare AS13335、Akamai AS20940)。
三、调用境外冷门DNS服务器解析
CDN厂商通常依据DNS查询来源地域决定是否返回缓存节点IP。国内常用DNS(如114.114.114.114、8.8.8.8)已被大量CDN策略识别并统一调度,而小众境外DNS因查询量低,更易绕过地域规则返回源站IP。
1、执行命令:nslookup example.com 1.1.1.1(Cloudflare公共DNS,部分场景有效)。
2、切换为更冷门DNS:nslookup example.com 176.103.130.130(Freenom DNS)、nslookup example.com 208.67.222.222(OpenDNS)。
3、若返回结果与国内DNS不同,且IP归属地为IDC机房(非CDN厂商ASN),则该IP大概率是真实源站地址。
四、分析邮件头信息与SSL证书透明度日志
网站注册邮箱、密码找回邮件或订阅确认邮件,其SMTP传输链路通常不经过CDN;同时,SSL证书签发过程会将域名与IP绑定信息提交至公开日志系统,可供追溯。
1、触发目标网站发送任意邮件(如注册、重置密码),在邮箱客户端中查看原始邮件头,定位 Received: from 字段末尾的IP或 X-Originating-IP 字段值。
2、访问 https://crt.sh/?q=%example.com,输入域名,查找所有已签发证书的 Subject Alternative Name 及其关联IP(若有)。
3、使用Censys搜索该证书SHA256指纹:https://search.censys.io/search?q=certificate.parsed.fingerprint_sha256%3A%22[SHA256值]%22,提取其中 ip_addresses 字段。
五、探测PHPINFO页面与RSS源泄露
部分网站在开发调试阶段遗留phpinfo.php、info.php等探针文件,或RSS订阅地址未做CDN代理,其HTTP响应头或HTML源码中常包含服务器内部IP、主机名及物理路径信息。
1、构造常见路径进行探测:curl -I https://example.com/phpinfo.php、curl -I https://example.com/info.php、curl -I https://example.com/test.php。
2、检查网站底部或HTML源码中是否存在RSS链接,如 ,对该RSS地址执行 curl -v https://rss.example.com/feed.xml 查看响应头中 X-Powered-By 或 Server 字段。
3、若响应中出现 X-Real-IP、X-Forwarded-For 或 Host 包含内网地址(如10.x.x.x、172.16.x.x、192.168.x.x),则说明该请求未经过CDN,或CDN配置存在缺陷。
