Сегодня все большее распространение получают сервисы для защиты от DDoS-атак, скрывающие реальный IP-адрес, типа CloudFlare, Incapsula и Qrator. Думаю, не имеет смысла объяснять, насколько бывает важно и полезно определить реальный IP-адрес сервера. Поэтому в данной заметке я поделюсь алгоритмом, которого придерживаюсь во время аудитов, когда приходится участвовать в игре «Найди мой реальный IP».

 

Метод 1: поддомены

Первый шаг, который я предлагаю сделать, — это найти поддомены и проверить их IP. Для поиска я использую тулзу Sublist3r от Aboul-Ela и словарь. Далее отбрасываем все адреса, что принадлежат хидеру. И затем к оставшимся пробуем подключиться с кастомным хидером Host. Для этого я накидал простенький скрипт на баше.

Этот способ, кстати, используют большинство сервисов вроде Cloudflare resolver. К сожалению, этот метод все реже приносит сколько-нибудь значимые результаты, потому что большинство таки научилось правильно настраивать DNS. Однако поиск поддоменов в любом случае крайне полезная вещь, особенно при блекбоксе. Так что делаю это в первую очередь.

 

Метод 2: history

Второй шаг простой, но в то же время наиболее эффективный. Смысл в том, чтобы найти старый IP-адрес домена. Быть может, сейчас он скрыт, но раньше, возможно, он был «голым».

Для просмотра истории изменения IP есть несколько сервисов. Например, мои любимые http://viewdns.info/iphistory/ и http://ptrarchive.com/ спасали мою задницу не один раз. Эти сервисы сейчас пока бесплатны (к сожалению, большинство сервисов такого плана переходят на платную основу).

Для примера возьмем сайт https://www.baincapital.com/. Он защищен CloudFlare, смотрим в историю — http://viewdns.info/iphistory/?domain=baincapital.com.

Видим, что раньше домен резолвился на IP 162.218.138.176, перейдем на него в браузере. Наблюдаем главную страницу Bain Capital, также можно заметить, что сертификат выдан на имя baincapital.com. Хороший знак, сравним с оригинальным сайтом https://baincapital.com — они идентичны.

Проверка реального IP-адреса домена и сертификата
Проверка реального IP-адреса домена и сертификата
История IP-адресов для домена baincapital.com
История IP-адресов для домена baincapital.com

Встречаются ситуации, когда переход по айпи не дает нужного результата, а возвращает, например, дефолтную страницу веб-сервера, или ошибку 404, или 403, или что-то подобное. В таких случаях не забывай пробовать подключаться с указанием Host’а:

curl -H "Host: www.baincapital.com" https://162.218.138.176 -k

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


4 комментария

  1. 0ri0n

    07.11.2016 at 13:29

    Самый просто способ. это либо получить почту (если есть возможность). Но этому методу года 3 не меньше.
    2й еще более простой способ Это реально скан ДНС. Dnsenum + dnsmap в помощь.
    + Можно попробовать поискать схожие ресурсы. по содержанию. К примеру:
    Вас интересует некий ресурс. но вы знаете, что данная фирма / человек имеет еще ресурсы. Так кто мешает найти их. проверить там айпишку и быстрее всего на том же самом хостинге или на схожих айпишках будет искомый ресурс.

  2. Inject0r

    13.11.2016 at 13:38

    Очень полезная статья, спасибо) А как понять, что сайт под CloudFlare находится?

  3. ueba

    21.11.2016 at 14:06

    Не все методы. Тут более интересный, связанный с сертом https://stackoff.ru/nemnogo-o-cloudflare/

  4. dr_vice

    22.11.2016 at 07:51

    Всё гораздо проще. Пишем на почту поддержки CloudFlare примерно такой текст: » С домена mysite.com зарегистрированы ddos атаки, имеется информация что на нём расположен центр управления ботнетом, тем самым нарушается закон. Просьба принять меры!». Получаете примерно такой ответ «Мы лишь предоставляем услуги DNS и к сайту никакого отношения не имеем, вот его реальный ip адрес 198.160.0.0». CloudFlare сливает ip адреса при запросе.

Оставить мнение

Check Also

WWW: Carbon — сервис для создания идеальных скриншотов кода

В теории сделать скриншот кода, чтобы кому-то показать, — задача несложная. В реальности р…