在互联网的庞大体系中，网站的真实IP地址是一座灯塔——它标注着站点的物理位置，也是其在线身份的根基。然而，随着CDN加速和各类安全防护的普及，大量网站的真实IP被层层隐藏，用户只能接触到经CDN中转的代理节点。当我们需要对目标网站进行技术分析、安全评估，或排查源服务器故障时，找到那张被层层遮挡的“真实面孔”——原始IP地址，就成了一件兼具技术深度与实践价值的事。

一、CDN基础：从加速原理到CDN判断

1. CDN加速原理简析

CDN（内容分发网络）基于分布式边缘节点的缓存技术，将内容推送到离用户最近的服务端。当浏览器发起域名请求时，智能DNS会根据用户地理位置和网络状况，分配最优的CDN节点IP，从而绕开源服务器，加速内容访问。由于CDN边缘服务器遍布全球，正常请求通常只命中这些代理节点，不直接触及源站。

2. 如何判断网站是否使用了CDN

要找到真实IP，首先需要确认目标网站是否使用了CDN。如果站点并未接入CDN，那么常规DNS解析结果本身就是真实IP；反之，则需使用绕过技巧。

判断CDN的存在主要有三种方法：

• Ping命令检测：直接ping目标网站的域名，返回正在ping的网站和域名不一致，说明网站大概率启用了CDN。

• 多地Ping检测：通过站长工具Ping检测（如http://ping.chinaz.com/ ）等分布式节点，从国内外不同地区向同一域名发送Ping请求。若返回的IP地址因地区而异，或解析出多处IP地址，说明网站大概率启用了CDN。

• 威胁情报平台分析：通过公开的威胁情报进行分析，检索解析出来的IP，若查询结果中包含CDN相关标签，亦可判定CDN的存在。

二、突破CDN的八种实战方法

方法一：查询历史DNS解析记录

CDN有时是网站后期添加的防护，早期未使用CDN时，域名的A记录往往直接指向源服务器真实IP。通过查询DNS历史数据库，可能挖掘到一些遗留信息。

列举几个可以查历史解析的网站：

• https://ti.qianxin.com/

• https://x.threatbook.com/

• https://sitereport.netcraft.com/

• http://viewdns.info/

• http://site.ip138.com/

方法二：子域名探测法

许多网站仅在主站和热门子站配置CDN，开发测试、后台、邮件等边缘子站点可能仍直接绑定源服务器IP。由于子域名与主站往往部署在同一C段网段内，探测到未受保护的子域名及其IP，常常能找到源站真实IP。

常用方法：

• 枚举子域名工具：使用Sublist3r、Layer子域名挖掘机等枚举所有关联域名。

• 利用Google hack方法，收集目标的域名的子域名。

• 对每个子域名执行ping或nslookup，解析获取对应的IP地址。

方法三：利用SSL/TLS证书信息

TLS/SSL证书的颁发机构（CA）会将每个证书写入公共的证书透明度（CT）日志，这些日志对外公开，且证书中包含域名的通用名和主题备用名称（SAN）。通过证书指纹匹配，可反向定位部署过同一证书的IP。

常用方法：

• 直接访问带证书的目标站点，查看/导出证书信息。

• 访问https://platform.censys.io/，搜索目标网站的SSL证书，获取证书信息。

分析返回结果中的IP地址，通常能找到CDN背后的源服务器真实IP。

方法四：网络空间搜索引擎检索

Hunter、Fofa、ZoomEye等引擎对全球公网IP持续扫描，建立包含开放服务、端口及证书信息的资产索引。利用这些数据可以定位与目标域名特征吻合的服务器。

实用语法（以Fofa为例）：

• domain="example.com"：搜索与目标域名相关的所有主机。

• cert="目标域名的证书内容"：匹配绑定过同一证书的IP。

• title="网站标题特征"：通过网页标题匹配的关键字索引出真实IP。

方法五：分析邮件服务器与邮件头

如果网站自身提供邮件服务（如订阅通知、密码重置邮件），查看原始邮件头中经过的服务器地址，常能发现源站真实IP。SMTP服务器在转发邮件时会将经过的中继IP逐条写入Received头部，因而可作为溯源线索。

常用方法：

• 订阅目标站点的RSS邮件或找回密码服务，获取一封来自网站的真实邮件，查看邮件的源代码即可获取网站真实IP。

• 下载或查看邮件原始源码（多数邮箱客户端提供“显示原文”功能），仔细分析Received字段中的IP地址序列。
  

• 以wordpress为例，博客上留言，再自己换个名回复自己，然后收到他的留言提醒邮件，就能知道发邮件的服务器IP。如果他没开提醒功能，尝试是不是开启了注册功能，wordpress默认是用邮件方式发密码的。

方法六：国外主机解析域名

部分CDN服务商仅针对国内线路进行加速，对国外访问者往往直接返回源站IP。通过国外VPS或代理节点直接访问网站，就可能直接拿到真实IP。

常用方法：

• 选择任意海外服务器，使用curl -v https://目标域名命令获取响应，观察返回的IP地址是否与CDN节点不同。

• 国外的Ping工具（如https://www.webpagetest.org/ ）

• 多区域DNS查询工具（如 https://whatsmydns.me/）

方法七：社工与漏洞利用

在合规授权的前提下，利用管理员在公开渠道的疏漏也可以突破CDN防线，但这些方法需严格限定在法律允许范围内的授权测试中实施。

• 社工信息利用：通过管理员在论坛、GitHub、LinkedIn等平台无意间透露的IP或服务器配置信息获取源地址。

• 漏洞利用：通过网站的信息泄露（如phpinfo泄露，github信息泄露，XSS跨站脚本、SSRF服务端请求伪造、文件上传等漏洞，通过命令执行类漏洞，在目标站点执行脚本或发起请求，获取后台服务器的真实IP。

• DDoS消耗CDN（极端方法）：对CDN节点发起超大流量攻击，导致CDN防护耗尽，迫使CDN节点透传源站IP，但此方法严重影响网站正常运行，属于破坏性攻击行为，不建议在非授权场景下使用。

方法八：F5 LTM解码

当服务器使用F5 LTM做负载均衡时，通过对set-cookie关键字的解码真实IP也可被获取。

例如:

Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小节的十进制数即487098378取出来，然后将其转为十六进制数1d08880a,接着从后至前，以此取四位数出来，也就是0a.88.08.1d,最后依次把他们转为十进制数10.136.8.29，也就是最后的真实IP。

注：通过以上的方法，获取到的可能是真实的IP、亦可能是真实IP的同C段IP，还需要要对其进行相关测试，最后才能确认它是不是最终IP。

三、源站保护建议：防御真实IP被探测

对网站运维人员而言，隐藏真实IP是保障源站安全的关键一环。以下防御措施可供参考：

• 限制源站入站流量：在源服务器的防火墙或安全组中，仅允许CDN服务商的IP段访问80、443等端口，其他来源一律拒绝。

• 定期更换源站IP：每月或每季度更换一次源站IP地址，减少历史DNS记录暴露的风险。

• 禁用非必要服务和端口：关闭FTP、SSH等服务的外网访问，或将其限制在指定IP范围内。

• 合理配置SSL证书：使用CDN提供的专属证书或泛域名证书，避免证书敏感字段泄露源站IP。

• 启用WAF并严格配置Rate Limit：防止恶意扫描和高频探测行为。

四、法律与道德声明

查找网站真实IP的技术具有较强的双刃性，既可以用于合法的安全评估、故障排查和网络运维，也可能被滥用为非法渗透、信息窃取乃至网络攻击的前奏。使用本文所述方法时，请务必遵守所在国家及地区的法律法规，仅在获得明确授权或出于善意的技术研究目的下进行。未经授权探测、扫描或攻击他人的服务器，均属违法行为，需自行承担相应法律责任。

​

阅读原文：https://mp.weixin.qq.com/s/3K2BtDf6P888GwE4eghnXw