V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zoneself
V2EX  ›  程序员

网站使用 cdn 如何找到真实服务器 ip,求高手指点

  •  
  •   zoneself · 2015-07-07 11:20:06 +08:00 · 7311 次点击
    这是一个创建于 3419 天前的主题,其中的信息可能已经有所发展或是发生改变。

    1、木有二级域名、百度谷歌无任何收录的情况下。
    2、无邮件发送系统的情况下。
    3、网站不存在任何漏洞的情况下。
    4、带www和不带www的同时使用cdn的情况下。
    5、……

    你们说怎么搞,求高手指点!

    17 条回复    2015-07-08 15:08:12 +08:00
    wkdhf233
        1
    wkdhf233  
       2015-07-07 11:22:06 +08:00   ❤️ 1
    要让你找到了还要CDN干啥
    zoneself
        2
    zoneself  
    OP
       2015-07-07 11:29:38 +08:00
    @wkdhf233 哈哈,因为网站经常受到攻击,所以先了解下别人是怎么破解的,然后根据破解的方法来进行防护,避免暴漏真实服务器ip
    wkdhf233
        3
    wkdhf233  
       2015-07-07 11:36:38 +08:00
    @zoneself 以前尝试过找CDN后面的网站,在知道他用的哪家虚拟主机的情况下,搜了一些那个主机商下面的站确定大致的IP范围,用masscan把附近IP段开放80口的IP全部扫了一遍,然后对每个IP发个他的HOST的GET请求,正则匹配他网站的内容。

    这个严格来讲有社工成分在里面了。。
    Devin
        4
    Devin  
       2015-07-07 11:38:39 +08:00 via iPhone
    那你应该问怎么防止暴露服务器真实IP吧
    另外似乎要有一定影响力的网站才比较容易被攻击对吧,恭喜楼主
    Draplater
        5
    Draplater  
       2015-07-07 11:56:04 +08:00
    @wkdhf233 这么说可以限制只允许CDN访问?
    dangge
        6
    dangge  
       2015-07-07 11:58:26 +08:00
    mcone
        7
    mcone  
       2015-07-07 11:59:34 +08:00
    http://zone.wooyun.org/content/18058

    另外,你在上CDN前确定没有暴露真实ip?
    确定你的CDN没有卖队友(大量请求直接回原)?
    ……

    感觉你说的这个被攻击的问题,有很多可能啊……
    linescape
        8
    linescape  
       2015-07-07 11:59:45 +08:00
    真实服务器走VPN内网的怎么样
    zoneself
        9
    zoneself  
    OP
       2015-07-07 12:02:43 +08:00
    @dangge 嗯,我试试
    lilydjwg
        10
    lilydjwg  
       2015-07-07 12:31:26 +08:00
    只对 CDN 开放访问呗,别的地方来的可以给默认页或者拒绝连接之类的。
    asp
        11
    asp  
       2015-07-07 12:45:39 +08:00
    限制只允许CDN访问也是可以突破的,找到你真实IP改一下host就可以了
    wkdhf233
        12
    wkdhf233  
       2015-07-07 14:35:06 +08:00
    @asp 是限制只允许CDN的IP访问。。
    wkdhf233
        13
    wkdhf233  
       2015-07-07 14:39:16 +08:00
    @Draplater 可以,只允许CDN访问本来就是防止后端暴露的一环
    不过很多人都是加个CDN在前面就不管了,毕竟像乌云大触手这种扫CN全境IP感觉一般人也干不出来。。
    tinkerer
        14
    tinkerer  
       2015-07-07 15:14:23 +08:00
    @wkdhf233 爱上你头像了
    ijophy
        15
    ijophy  
       2015-07-07 23:50:31 +08:00
    zmap
    asp
        16
    asp  
       2015-07-08 12:22:32 +08:00
    你能遇到这样的就可以去买彩票了
    1、木有二级域名、百度谷歌无任何收录的情况下。
    2、无邮件发送系统的情况下。
    3、网站不存在任何漏洞的情况下。 //这才是重点
    4、带www和不带www的同时使用cdn的情况下。
    5、……
    再说不是还有无敌的社工么?无视任何防火墙!
    zoneself
        17
    zoneself  
    OP
       2015-07-08 15:08:12 +08:00
    @ijophy 感觉zmap好牛逼的样子 只能通过硬件防护么?
    @asp 社工这个不好防御啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2611 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 15:41 · PVG 23:41 · LAX 07:41 · JFK 10:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.