Один из легких способов узнать реальный IP адрес сервера
Прошлой грустной ночью я гулял по интернетам и наткнулся на весьма простой и, в большинстве случаев, действенный сервис.
Наверняка, кто интересовался, как узнать IP адрес сервера, знают про методы проверки DNS записей, поддоменов, хедеры почты и всякие сервисы подобные shodan.io.
Я для себя открыл сайт viewdns.info, а если более точно, то сервис, который шерстит архивы ресурсных записей домена. Возьмем в пример сайт бесплатного курса по программированию на python - pythontutor.ru
Проверяем записи: А, NS
pythontutor.ru. 300 IN A 104.21.12.207
pythontutor.ru. 300 IN A 172.67.132.103
pythontutor.ru. 3494 IN NS amanda.ns.cloudflare.com.
pythontutor.ru. 3494 IN NS seth.ns.cloudflare.com.
Понимаем, что сайт находится за CF-ом. Идем на viewdns и смотрим историю записей:
Видим 4 IP CF-а и 2 IP хостинг провайдера digitalocean, переходим по ip адресам 178.62.144.114 и 188.166.141.106 нас редиректит на сайт pythontutor.ru. Да, это могут быть прокси сервера или балансеры, но проект маленький и вряд ли там будет какая то highload инфраструктура.
По крайней мере я сделал для себя такой вывод банально по простому фактору - попробовал постучаться по ssh
ssh 188.166.141.106
The authenticity of host '188.166.141.106 (188.166.141.106)' can't be established.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
X@188.166.141.106's password:
ssh 178.62.144.114
The authenticity of host '178.62.144.114 (178.62.144.114)' can't be established.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
X@178.62.144.114's password:
Как вы могли бы заметить, там нет ни вайтлиста по IP адресу, да и доступ по паролю не отключен.
Я тестировал на разных доменных именах, но не у всех была история изменений, точной причины их отсутствия я, увы, не знаю.
Если кто то несведущий дочитал до конца и ему непонятно, чем может грозить скомпрометированный IP адрес сервера, находящийся под CF-ом, я поясню, - самый простой пример, это DDoS атака. Если атака будет проводиться по домену, то сначала весь трафик будет фильтровать Cloudflare, а затем поступать на сервер. Атака же на сам сервер по IP адресу минует CF и сервер, по факту, не защищен. Хотя может быть еще сетевой экран на уровне хостера, но все же.
Спасибо за внимание.
Информационная безопасность IT
1.5K постов25.6K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.