在当今互联网时代，内容分发网络（CDN）被广泛应用于加速网站访问速度和提升用户体验，对于网络安全专业人员来说，CDN也可能成为一道障碍，尤其是在进行Web渗透测试时，本文将详细探讨如何绕过CDN来找到目标网站的真实IP地址，以及在渗透过程中应对CDN的策略。

一、什么是CDN？

CDN是一组分布在不同地理位置的服务器，它们通过缓存内容并根据用户的地理位置提供最近的内容副本，从而加速网页加载时间并减轻源服务器的负担，百度使用CDN技术在全国各处设置节点，提供快速服务，减少高流量的影响。

二、CDN对渗透测试的影响

CDN隐藏了真实源IP，使得直接针对源服务器的渗透变得复杂，通常的访问路径是：用户请求 -> CDN节点 -> 真实服务器，找到真实IP是进行有效渗透测试的关键。

三、如何检测是否存在CDN？

1、多地ping服务：通过站长工具、爱站网等平台，从不同地理位置ping一个域名，返回不同的IP地址则可能存在CDN。

2、nslookup命令：输入nslookup命令检测域名解析的IP地址数量，多个IP地址可能表明使用了CDN。

3、修改本地host文件：将域名绑定到本地IP，若仍能正常浏览网页，说明未经过CDN。

四、绕过CDN的策略与方法

利用历史DNS记录

通过查询历史DNS记录可以找到使用CDN前的IP地址，常用工具包括：

- DNSDB

- 微步在线

- Netcraft

- ViewDNS

这些平台提供详细的历史DNS记录，攻击者可以输入网站域名并查看其历史IP地址，利用SecurityTrails平台，输入网站域名后，点击“历史数据”即可查看过去的DNS记录。

子域名查询

CDN成本较高，很多站长只对主站或流量大的子站点使用CDN，通过查询子域名找到其真实IP，常用工具有：

- 微步在线

- DNSDB

- Google搜索：使用site:example.com -www进行查询

网络空间引擎搜索

使用Shodan、Fofa等网络空间搜索引擎查找目标网站的真实IP，方法如下：

- Fofa搜索：输入title:"网站的title关键字"或body:"网站的body特征"

SSL证书分析

SSL证书可以暴露真实IP，通过扫描互联网获取SSL证书，进而找到服务器的真实IP，常用工具包括Censys，在Censys上搜索parsed.names:xyz123boot.com，可以找到该域名的证书，获取其真实IP。

HTTP标头分析

通过比较HTTP标头来查找原始服务器，使用SecurityTrails平台搜索特定HTTP标头，如果要搜索的数据相当多，攻击者可以在Censys(大数据搜索平台)上组合搜索参数，查找由CloudFlare提供服务和以XYZ PHP框架的网站的参数如下：80.http.get.headers.server:cloudflare 80.http.get.headers.x-generated-via:XYZ框架

如果原始服务器IP也返回了网站的内容，那么可以在网上搜索大量的相关数据，浏览网站源代码，寻找独特的代码片段，在JavaScript中使用具有访问或标识符参数的第三方服务（例如Google Analytics，reCAPTCHA）是攻击者经常使用的方法。

使用国外主机解析域名

国内很多CDN只做国内线路，使用国外的主机访问域名可能获取到真实IP，看下国外的服务器ping的ip是否是同一个。

网站漏洞查找

遗留文件如phpinfo页面泄露可能会显示服务器的外网IP地址，SSRF（Server-Side Request Forgery）漏洞也可以被用来让VPS获取原始服务器的真实IP。

五、实际案例分析

在一次渗透过程中，进行了常规的信息搜集之后，发现目标网站使用了云防护和CDN，通过微步查询历史解析记录，发现几个主要目标累计具有数百条解析记录，分散在各国的各数据中心内，尝试将解析IP做成列表批量进行80/443的发起请求测试后，未发现针对性的信息，最终通过注入点判断和bypass手段绕过，成功进行注入。

六、总结

绕过CDN进行渗透需要多种方法和工具的结合使用，通过历史DNS记录、子域名查询、网络空间引擎搜索、SSL证书分析、HTTP标头分析和利用网站返回的内容等方法，可以有效地找到目标网站的真实IP地址，实际案例中的经验和策略也为渗透测试提供了宝贵的参考。