文章关键词：电子数据取证、手机取证、介质取证、电脑取证

一、前言

想必大家对APK进行分析的时候会经常遇到很多IP地址，而这些IP对我们来说都要去进行分析和研判，那么面临的问题来了，我们该如何快速找到跟案件相关的真实IP呢，下面开始我们本次的分享。

二、案件背景

在诈骗或者赌博类的案件中都是通过APP或者某个网站的方式进行诱骗行为，而在我们的工作中就需要对这几类的APK或者网站进行分析以及溯源的操作，通过分析拿取到很多的IP以及部分数据后，如何去确认这些IP及溯源信息就出现了以下问题。

问题一：无效IP调证回来的服务器镜像。后果：后台数据出现缺失，原因：大部分进行诱骗的服务器或网站是存在不定期进行跟换原服务器。

问题二：时间的浪费。后果：调证过程时间问题，服务器数据更换；

原因：大部分进行诱骗的服务器或网站是存在不定期进行跟换原服务器。

三、CDN是什么

CDN即内容分发网络，主要解决传输距离和不同运营商节点造成网路速度性能底下的问题。可以理解为节点缓存服务器，把用户经常访问的资源直接缓存节点服务器，每当用户发送请求时，会直接发送得到距离用户最近的节点服务器响应给用户，当用户有实际数据交互时才会从远程WEB服务器响应，这样可以大大提高响应时间（类似网络中继设备作用）所以目标采用了CDN服务，我们ping通的域名，仅是离我们最近的节点服务器，这样，我们无法确认真实的ip地址；

四、真实IP寻找方法

4.1、首先判断目标服务器是否使用了CDN：

我们可以在站长之家的Whois中找到多地ping中进行操作，在多个地区进行ping通服务器的操作；看返回ip是否一致，若一致则没有使用CDN，若出现有规律或ip不一致则，使用了CDN。如下图：

​编辑

4.2、查找真实IP方法

方法1：使用nslookup进行检测。

原理同上，如果返回域名解析对应多个IP地址多半是使用了 CDN。有CDN示例，如下图：

​编辑

无CDN示例，如下图：：

​编辑

方法2：查询子域名

其实CDN 还是比较贵的，所以很多站长可能只会对主站或者流量较大的子网站点做了CDN加速，而很多小网站的站点又跟主站在同一台服务器或者在同一个C段网络内，因此就可以通过查询子域名来查找对应的IP来辅助查找网站的真实IP。

使用网站有：微步在线（https://x.threatbook.com/）。

微步网站在线功能很强大，有一些黑客只需输入要查找的域名(如baidu.com)，点击子域名选项就可以查找它的子域名了，但是免费用户每月只有5次免费查询机会，但是貌似会员可以一直使用，有钱的大哥可以冲个会员。如下图：

​编辑

方法3：Dnsdb查询法。(https://dnsdb.io/zh-cn/)

这个网站应该是需要到外网才能进行查询，只需输入baidu.com type:A就能收集百度的子域名和ip了。如下图：

​编辑

方法4：网络空间引擎搜索法

fofa相比于其他的类似的引擎搜索法网站使用率是比较高的，常见的有以前的钟馗之眼，shodan，fofa（https://fofa.info/）搜索。我们这里以fofa为例，只需输入：title:“网站的title关键字”或者body：“网站的body特征”就可以找出fofa收录的有这些关键字的ip域名，很多时候能获取网站的真实ip。如下图：

​编辑

方法5：SSL证书

　　假如在www.baidu.com上托管了一个服务,原始服务器IP是136.23.62.11，而网速会为你提供DDoS保护，Web应用程序防火墙等服务，以保护你的服务免受攻击。为此，你的Web服务器就必须支持SSL并具有证书，才能进行正常的使用。

Censys（https://censys.io/ipv4）工具就能实现对整个互联网的扫描，Censys是一款用以搜索联网设备信息的新型搜索引擎，能够扫描整个互联网，Censys会将互联网所有的ip进行扫面和连接，以及证书探测。若目标站点有https证书，并且默认虚拟主机配了https证书，我们就可以找所有目标站点是该https证书的站点。如下图：

​编辑

方法6：DNS解析

　　一般网站从部署开始到使用CDN都有一个过程，周期如果较长的话 则可以通过这类历史解析记录查询等方式获取源站IP，查看IP与域名绑定的历史记录，可能会存在使用CDN前的记录。找国外的比较偏僻的DNS解析服务器进行DNS查询，因为大部分CDN提供商只针对国内市场，而对国外市场几乎是不做CDN，所以有很大的几率会直接解析到真实IP 。

全国DNS查询地址（仅供参考）：

https://dnshistory.org/

http://whoisrequest.com/history/

https://completedns.com/dns-history/

http://dnstrails.com/

https://who.is/domain-history/

http://research.domaintools.com/research/hosting-history/

http://site.ip138.com/

http://viewdns.info/iphistory/

https://dnsdb.io/zh-cn/

https://www.virustotal.com/

https://x.threatbook.cn/

http://viewdns.info/

http://www.17ce.com/

http://toolbar.netcraft.com/site_report?url=

全球 CDN 服务商查询_专业精准的IP库服务商_IPIP

方法7：网站邮件头信息

邮箱注册，邮箱找回密码、RSS邮件订阅等功能场景，通过网站给自己发送邮件，从而让目标主动暴露他们的真实的IP，查看邮件头信息，获取到网站的真实IP。

三、总结

上面就是我们本次对如何绕过CDN找到真实IP的分享，大家可以在测试或者案件中进行分析尝试，也包括现在网络上也存在其他方法可以绕过CND，大家也可以进行“度娘”查询。

​