|
文案关键词:电子数据取证、手机取证、介质取证、电脑取证
1、前言
想必大众对APK进行分析的时候会经常遇到非常多IP位置,而这些IP对咱们来讲都要去进行分析和研判,那样面临的问题来了,咱们该怎样快速找到跟案件关联的真实IP呢,下面起始咱们这次的分享。
2、案件背景
在诈骗或赌博类的案件中都是经过APP或某个网站的方式进行诱骗行径,而在咱们的工作中就需要对这几类的APK或网站进行分析以及溯源的操作,经过分析拿取到非常多的IP以及部分数据后,怎样去确认这些IP及溯源信息就显现了以下问题。
问题一:无效IP调证回来的服务器镜像。后果:后台数据显现缺失,原由:大部分进行诱骗的服务器或网站是存在不定时进行跟换原服务器。
问题二:时间的浪费。后果:调证过程时间问题,服务器数据更换;
原由:大部分进行诱骗的服务器或网站是存在不定时进行跟换原服务器。
3、CDN是什么
CDN即内容分发网络,重点处理传输距离和区别运营商节点导致网路速度性能底下的问题。能够理解为节点缓存服务器,把用户经常拜访的资源直接缓存节点服务器,每当用户发送请求时,会直接发送得到距离用户近期的节点服务器响应给用户,当用户有实质数据交互时才会从远程WEB服务器响应,这般能够大大加强响应时间(类似网络中继设备功效)因此目的采用了CDN服务,咱们ping通的域名,仅是离咱们近期的节点服务器,这般,咱们没法确认真实的ip位置;
4、真实IP寻找办法
4.1、首要判断目的服务器是不是运用了CDN:
咱们能够在站长之家的Whois中找到多地ping中进行操作,在多个地区进行ping通服务器的操作;看返回ip是不是一致,若一致则无运用CDN,若显现有规律或ip不一致则,运用了CDN。如下图:
编辑
4.2、查询真实IP办法
办法1:运用nslookup进行检测。
原理同上,倘若返回域名解析对应多个IP位置多半是运用了 CDN。 有CDN示例,如下图:
编辑
无CDN示例,如下图::
编辑
办法2:查找子域名
其实CDN 还是比较贵的,因此非常多站长可能只会对主站或流量很强的子网站点做了CDN加速,而非常多小网站的站点又跟主站在同一台服务器或在同一个C段网络内,因此呢就可以经过查找子域名来查询对应的IP来辅助查询网站的真实IP。
运用网站有:微步在线(https://x.threatbook.com/)。
微步网站在线功能很强大,有有些黑客只需输入要查询的域名(如baidu.com),点击子域名选项就能够查询它的子域名了,然则免花费户每月仅有5次免费查找机会,然则貌似会员能够始终运用,有钱的大哥能够冲个会员。如下图:
编辑
办法3:Dnsdb查找法。(https://dnsdb.io/zh-cn/)
这个网站应该是需要到外网才可进行查找,只需输入baidu.com type:A就能收集百度的子域名和ip了。如下图:
编辑
办法4:网络空间引擎搜索法
fofa相比于其他的类似的引擎搜索法网站运用率是比较高的,平常的有以前的钟馗之眼,shodan,fofa(https://fofa.info/)搜索。咱们这儿以fofa为例,只需输入:title:“网站的title关键字”或body:“网站的body特征”就能够找出fofa收录的有这些关键字的ip域名,非常多时候能获取网站的真实ip。如下图:
编辑
办法5:SSL证书
假如在www.baidu.com上托管了一个服务,原始服务器IP是136.23.62.11,而网速会为你供给DDoS守护,Web应用程序防火墙等服务,以守护你的服务免受攻击。为此,你的Web服务器就必须支持SSL并拥有证书,才可进行正常的运用。
Censys(https://censys.io/ipv4)工具就能实现对全部互联网的扫描,Censys是一款用以搜索联网设备信息的新型搜索引擎,能够扫描全部互联网,Censys会将互联网所有的ip进行扫面和连接,以及证书探测。若目的站点有https证书,并且默认虚拟主机配了https证书,咱们就能够找所有目标站点是该https证书的站点。如下图:
编辑
办法6:DNS解析
通常网站从安排起始到运用CDN都有一个过程,周期倘若较长的话 则能够经过这类历史解析记录查找等方式获取源站IP,查看IP与域名绑定的历史记录,可能会存在运用CDN前的记录。找国外的比较偏僻的DNS解析服务器进行DNS查找,由于大部分CDN供给商只针对国内市场,而对国外市场几乎是不做CDN,因此有很大的几率会直接解析到真实IP 。
全国DNS查找位置(仅供参考):
https://dnshistory.org/
http://whoisrequest.com/history/
https://completedns.com/dns-history/
http://dnstrails.com/
https://who.is/domain-history/
http://research.domaintools.com/research/hosting-history/
http://site.ip138.com/
http://viewdns.info/iphistory/
https://dnsdb.io/zh-cn/
https://www.virustotal.com/
https://x.threatbook.cn/
http://viewdns.info/
http://www.17ce.com/
http://toolbar.netcraft.com/site_report?url=
全世界 CDN 服务商查找_专业精细的IP库服务商_IPIP
办法7:网站邮件头信息
邮箱注册,邮箱找回秘码、RSS邮件订阅等功能场景,经过网站给自己发送邮件,从而让目的主动暴露她们的真实的IP,查看邮件头信息,获取到网站的真实IP。
3、总结
上面便是咱们这次对怎样绕过CDN找到真实IP的分享,大众能够在测试或案件中进行分析尝试,亦包含此刻网络上亦存在其他办法能够绕过CND,大众亦能够进行“度娘”查找。
| 
发表于