[TOC]

0x00 验证CDN站点

如何验证站点是否存在CDN最简单的办法如下:

方法一:
描述: 使用各种多地 ping 的服务，查看对应 IP 地址是否唯一，如果不唯一多半是使用了CDN，多地 Ping 网站有：

• http://ping.chinaz.com/
• http://ping.aizhan.com/
• http://ce.cloud.360.cn/

方法二：
描述:使用 nslookup 进行检测，原理同上，如果返回域名解析对应多个 IP 地址多半是使用了 CDN。

weiyigeek.top-CDN验证

注意事项：

• dig工具可以从该域名的官方DNS服务器上查询到精确的权威解答,而nslookup只会得到DNS解析服务器保存在Cache中的非权威解答。
• 对于一些采用了分布式服务器和CDN技术的大型网站，使用NSlookup 查询到的结果往往会和dig命令查询到的结果不同。

方法三:
描述: 一般做了CDN的网站会有CNAME域名解析记录，我们可以使用各种工具帮助检测目标网站是否使用了CDN可以参见如下网站

• http://www.cdnplanet.com/tools/cdnfinder/
• http://www.ipip.net/ip.html

weiyigeek.top-DNSDataView

---

0x01 查询网站真实IP

1.先查一下分站的域名地址
有些cdn的服务实在是太昂贵，很多情况是主站使用了 CDN 而分站没有使用，这时候我们就可以通过子域名来get到真实的ip地址。

2.大部分CDN提供商只针对国内市场
而对国外市场几乎是不做CDN，所以有很大的几率会直接解析到真实IP。其实这个方法根本不用上国外vpn，因为你上国外vpn的ping本质，就是使用国外dns（那台vpn服务器使用的dns）查询域名而已，所以只需要：nslookup xxx.com 国外dns，就行了，例如：nslookup xxx.com 8.8.8.8，提示：你要找冷门国外DNS才行，像谷歌的DNS，国内用的人越来越多了，很多CDN提供商都把谷歌DNS作为国内市场之一，所以，你查到的结果会和国内差不了多少 （核总的原话）

3.ping 命令这样写 ping xxx.com 而不是 ping www.xxx.com
ping xxx.com一般都会是真实IP，因为了解到现有很多CDN厂商基本只要求把 www.xxx.com cname到cdn主服务器上去。
www.xxx.com 和 xxx.com是两条独立的解析记录,一般只会把 www.xxx.com 做 CDN

4.看历史纪录
指的是查找域名历史解析记录，因为域名在上CDN之前用的IP，很有可能就是CDN的真实源IP地址。
有个专门的网站提供域名解析历史记录查询：

• http://www.17ce.com
• http://toolbar.netcraft.com/site_report?url=www.xxx.com
• https://dnsdb.io/zh-cn/
• https://x.threatbook.cn/

经过验证: https://x.threatbook.cn/ 才能查询DNS解析历史记录，而且太早期的也没有;

weiyigeek.top-DNC解析历史

5.phpinfo
剑心说过在进行渗透扫描的时候, phpinfo();之类的探针看你路径字典强度.很容易跑出来的.

6.有的服务器本地自带sendmail与mx记录查询
注册之后会主动发一封邮件给我们。通过邮件发送地址往往也能得到服务器IP，当然这个IP也要验证是否为主站的，可以通过常看网页源代码看到IP(也有可能采用的是腾讯或阿里云的企业服务器-那您就换一条路把)。
有的大型互联网网站会有自己的Mailserver，应该也是处在一个网段，那个网段打开80的一个一个试。

weiyigeek.top-邮箱地址

7.rss 订阅一般也会得到真实的IP地址

8: xss 漏洞(存储类型-还需等待生效时间)
同6：是让服务器主动连接我们的一种方式.

9.DDOS(基本上不现实)
DDOS耗尽CDN流量、那么就会回源，这样就能得到真实IP不设防的cdn 量大就会挂，高防cdn 要增大流量。

10.社会工程学
比如勾搭卖这CDN的客服妹子，他们可能有权限或者查看域名注册方的一些信息如电话啊、邮件地址啊、姓名啊，
有时候会有些人注册一堆域名可以尝试从这些突破

11.全网扫描
Zmap号称44分钟扫完-全网我们首先从 apnic 获取 IP 段，然后使用 Zmap 的 banner-grab 扫描出来 80 端口开放的主机进行 banner 抓取，最后在 http-req 中的 Host 写 xiaix.me』（其中xiaix.me是需要寻找真实IP的域名）。说到这个，我就想起了shodan，zoomeye。虽然他们都很强大地能够搜索到全球的IP banner信息，http的banner信息，但是却不能搜索网页代码。

13.根据HTML代码进行搜索
友推荐一个新的IOT搜索引擎，跟前面提到的两个相似，叫FOFA / 钟馗之眼,这个东西优点是支持HTML源代码检索;

• https://fofa.so/

  #搜索CND网站的关键字
  title="xxxxxx-xxxx.com"

weiyigeek.top-fofa.so

0x02 CND 安全

CDN存在中间人攻击的隐患吗?
比如Cloudflare连接用Cloudflare CDN的网站可以看到SSL证书是Cloudflare的证书，所以Cloudflare可以看到所有来往信息。万一Cloudflare CDN服务器安全出问题了,或者Cloudflare本身有一些监控手段，是否意味着存在中间人攻击的安全隐患？

虽然一般CDN提供商不会监控传输的一些敏感信息,但是信任并不代表CDN服务器不会出问题！

CDN安全隐患肯定存在，服务器的私钥都上传到了CDN服务器上，如果被攻击者获取到并利用私钥进行下面的操作;

• 看到双向的加密流量、解密的明文流量。
• 监控双向进出的流量、甚至修改、替换、删除、注入报文，通信的双方都可能无法检测到报文已经被恶意篡改的事实。

由于安全防护不足，CDN服务器沦陷了，同时沦陷的还有客户服务器证书的私钥，看看这个私钥能干掉啥有意义的事？

RSA密钥交换算法: 使用RSA公钥算法分发的将可以使用私钥来进行

• 解密现在、将来的加密流量，还可以解密历史上的所有的加密流量;

DHE密钥交换算法: 证书的私钥只负责认证这一块,而DHE才负责双方密钥的分发。所以即使私钥泄露了，用私钥也无法从历史流量里还原出“Pre-master Key”。

因为攻陷了CDN服务器，所有RSA私钥、DHE私钥，解密解密流量就如同吃哈密瓜一样轻松容易