Сегодня все большее распространение получают сервисы для защиты от DDoS-атак, скрывающие реальный IP-адрес, типа CloudFlare, Incapsula и Qrator. Думаю, не имеет смысла объяснять, насколько бывает важно и полезно определить реальный IP-адрес сервера. Поэтому в данной заметке я поделюсь алгоритмом, которого придерживаюсь во время аудитов, когда приходится участвовать в игре «Найди мой реальный IP».

 

Метод 1: поддомены

Первый шаг, который я предлагаю сделать, — это найти поддомены и проверить их IP. Для поиска я использую тулзу Sublist3r от Aboul-Ela и словарь. Далее отбрасываем все адреса, что принадлежат хидеру. И затем к оставшимся пробуем подключиться с кастомным хидером Host. Для этого я накидал простенький скрипт на баше.

Этот способ, кстати, используют большинство сервисов вроде Cloudflare resolver. К сожалению, этот метод все реже приносит сколько-нибудь значимые результаты, потому что большинство таки научилось правильно настраивать DNS. Однако поиск поддоменов в любом случае крайне полезная вещь, особенно при блекбоксе. Так что делаю это в первую очередь.

 

Метод 2: history

Второй шаг простой, но в то же время наиболее эффективный. Смысл в том, чтобы найти старый IP-адрес домена. Быть может, сейчас он скрыт, но раньше, возможно, он был «голым».

Для просмотра истории изменения IP есть несколько сервисов. Например, мои любимые http://viewdns.info/iphistory/ и http://ptrarchive.com/ спасали мою задницу не один раз. Эти сервисы сейчас пока бесплатны (к сожалению, большинство сервисов такого плана переходят на платную основу).

Для примера возьмем сайт https://www.baincapital.com/. Он защищен CloudFlare, смотрим в историю — http://viewdns.info/iphistory/?domain=baincapital.com.

Видим, что раньше домен резолвился на IP 162.218.138.176, перейдем на него в браузере. Наблюдаем главную страницу Bain Capital, также можно заметить, что сертификат выдан на имя baincapital.com. Хороший знак, сравним с оригинальным сайтом https://baincapital.com — они идентичны.

Проверка реального IP-адреса домена и сертификата
Проверка реального IP-адреса домена и сертификата
История IP-адресов для домена baincapital.com
История IP-адресов для домена baincapital.com

Встречаются ситуации, когда переход по айпи не дает нужного результата, а возвращает, например, дефолтную страницу веб-сервера, или ошибку 404, или 403, или что-то подобное. В таких случаях не забывай пробовать подключаться с указанием Host’а:

curl -H "Host: www.baincapital.com" https://162.218.138.176 -k

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


aLLy

Специалист по информационной безопасности в ONsec. Research, ethical hacking and Photoshop.

4 комментария

  1. 0ri0n

    07.11.2016 at 13:29

    Самый просто способ. это либо получить почту (если есть возможность). Но этому методу года 3 не меньше.
    2й еще более простой способ Это реально скан ДНС. Dnsenum + dnsmap в помощь.
    + Можно попробовать поискать схожие ресурсы. по содержанию. К примеру:
    Вас интересует некий ресурс. но вы знаете, что данная фирма / человек имеет еще ресурсы. Так кто мешает найти их. проверить там айпишку и быстрее всего на том же самом хостинге или на схожих айпишках будет искомый ресурс.

  2. Inject0r

    13.11.2016 at 13:38

    Очень полезная статья, спасибо) А как понять, что сайт под CloudFlare находится?

  3. ueba

    21.11.2016 at 14:06

    Не все методы. Тут более интересный, связанный с сертом https://stackoff.ru/nemnogo-o-cloudflare/

  4. dr_vice

    22.11.2016 at 07:51

    Всё гораздо проще. Пишем на почту поддержки CloudFlare примерно такой текст: » С домена mysite.com зарегистрированы ddos атаки, имеется информация что на нём расположен центр управления ботнетом, тем самым нарушается закон. Просьба принять меры!». Получаете примерно такой ответ «Мы лишь предоставляем услуги DNS и к сайту никакого отношения не имеем, вот его реальный ip адрес 198.160.0.0». CloudFlare сливает ip адреса при запросе.

Оставить мнение

Check Also

Ответственность за атаки MageCart лежит как минимум на семи хакерских группах

Аналитики компаний RiskIQ и Flashpoint подготовили совместный отчет об атаках MageCart. Сп…