Знание реального IP сайта дает больше возможностей для атак. Кроме того, иногда серые сайты располагаются на чувствительных к абузам хостингах - а это дополнительная возможность отключить сайт. Этот форум заставили переехать на другой хостинг именно с помощью абуз (подробности здесь).
Рассмотрим несколько простых способов определение настоящего IP сайта, спрятанного за Cloudflare или другой CDN.
Самый простой и универсальный способ определить IP сайта, спрятанного под CDN - посмотреть историю смены IP.
Для этого существуют сервисы, как viewdns.info.
История смены IP нашего домена.
Самый последний по дате IP и будет, вероятно, IP сайта.
Первым делом пробуем пинговать самые распространенные поддомены: ftp, mail, admin, en.
В нашем случае почтовый сервер расположен на Яндексе, а на ftp не проходит ping, потому что IP адрес, указанный для ftp - левый. Можно было указать и пингуемый левый адрес, но в нашем случае прокатило и так.
Существуют еще различные сервисы для чекинга возможных поддоменов, но вероятность обнаружить какой-то редкий поддомен, не спрятанный CDN - очень мала.
Этот способ сработает, если сайт отправляет письма через свой почтовый сервер. Тогда IP можно узнать из заголовков письма, которое сайт пришлет для подтверждения регистрации.
В нашем случае почта отправляется через Яндекс (connect.yandex.ru). Настройка внешней почтовой службы, помимо анонимности, полезна и тем, что письма реже попадают в спам.
Кстати, можно попытаться определить IP самого администратора сайта, что тоже бывает полезно. Для этого нужно вступить в переписку с админом. Даже если настроена внешняя почта, отвечать он будет со своего компьютера или телефона, а тогда IP его устройства отобразится в заголовках письма. Способ защиты - использование VPN или мобильного интернета.
Этот способ сработает, если сайт подгружает внешние изображения по вашим ссылкам. Такой уязвимостью чаще всего страдают форумы, особенно на старых движках, где реализована возможность подгружать аватары по внешней ссылке. Иногда сайты автоматически закачивают встроенные внешние изображения себе, чтобы они не потерялись. В таком случае все что вам нужно - это скормить сайту изображения с вашего сервера и отследить по логам обращение.
Надежный способ защиты от этого способа - реализовать закачку внешних изображений через прокси.
Например, так.
Рассмотрим несколько простых способов определение настоящего IP сайта, спрятанного за Cloudflare или другой CDN.
Проверка истории смены IP сайта
Самый простой и универсальный способ определить IP сайта, спрятанного под CDN - посмотреть историю смены IP.
Для этого существуют сервисы, как viewdns.info.
История смены IP нашего домена.
Самый последний по дате IP и будет, вероятно, IP сайта.
Поиск и проверка IP поддоменов
Первым делом пробуем пинговать самые распространенные поддомены: ftp, mail, admin, en.
В нашем случае почтовый сервер расположен на Яндексе, а на ftp не проходит ping, потому что IP адрес, указанный для ftp - левый. Можно было указать и пингуемый левый адрес, но в нашем случае прокатило и так.
Существуют еще различные сервисы для чекинга возможных поддоменов, но вероятность обнаружить какой-то редкий поддомен, не спрятанный CDN - очень мала.
Определение IP сайта по заголовкам письма
Этот способ сработает, если сайт отправляет письма через свой почтовый сервер. Тогда IP можно узнать из заголовков письма, которое сайт пришлет для подтверждения регистрации.
В нашем случае почта отправляется через Яндекс (connect.yandex.ru). Настройка внешней почтовой службы, помимо анонимности, полезна и тем, что письма реже попадают в спам.
Кстати, можно попытаться определить IP самого администратора сайта, что тоже бывает полезно. Для этого нужно вступить в переписку с админом. Даже если настроена внешняя почта, отвечать он будет со своего компьютера или телефона, а тогда IP его устройства отобразится в заголовках письма. Способ защиты - использование VPN или мобильного интернета.
Определение IP по внешним http-запросам сайта
Этот способ сработает, если сайт подгружает внешние изображения по вашим ссылкам. Такой уязвимостью чаще всего страдают форумы, особенно на старых движках, где реализована возможность подгружать аватары по внешней ссылке. Иногда сайты автоматически закачивают встроенные внешние изображения себе, чтобы они не потерялись. В таком случае все что вам нужно - это скормить сайту изображения с вашего сервера и отследить по логам обращение.
Надежный способ защиты от этого способа - реализовать закачку внешних изображений через прокси.
Например, так.
PHP:
$url = 'http://domain.com/image.jpg';
$proxy = '127.0.0.1:8888';
$proxyauth = 'user:password';
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$url);
// Подключаемся к прокси
curl_setopt($ch, CURLOPT_PROXY, $proxy);
curl_setopt($ch, CURLOPT_PROXYUSERPWD, $proxyauth);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_HEADER, 1);
$curl_scraped_page = curl_exec($ch);
curl_close($ch);
Последнее редактирование: