關(guān)于IP地址隱藏的專題分析

周海龍 周穎 馮雪山

摘要：論文主要分析IP地址隱藏在真實場景及虛擬化場景下的作用。IP地址隱藏面臨風險主要為：存在監(jiān)管風險、存在管理風險、存在安全風險、安全風險監(jiān)控難度加大。IP地址隱藏可分類為CDN加速導致IP隱藏、安全防護導致IP地址隱藏、IP負載均衡導致IP地址隱藏、智能DNS導致IP地址隱藏、NAT網(wǎng)絡(luò)地址轉(zhuǎn)換導致IP地址隱藏等。針對以上IP地址隱藏場景部分可采用附件一中的方法進行真實IP地址的查找，但其適用場景有限，只適用于10%-20%的互聯(lián)網(wǎng)站。為進一步提高互聯(lián)網(wǎng)站可配合相關(guān)非技術(shù)手段進行互聯(lián)網(wǎng)站管理，以下是針對本文中IP隱藏場景可采用的非技術(shù)手段進行闡述。

關(guān)鍵詞：CDN加速導致IP地址隱藏；安全防護導致IP地址隱藏；智能DNS導致IP地址隱藏；NAT網(wǎng)絡(luò)地址轉(zhuǎn)化導致IP地址隱藏

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2019）11-0073-03

為切實加強互聯(lián)網(wǎng)站管理工作，規(guī)范、細化互聯(lián)網(wǎng)行業(yè)管理流程，促進我國互聯(lián)網(wǎng)全面、協(xié)調(diào)、可持續(xù)發(fā)展，信息化產(chǎn)業(yè)部制定了《互聯(lián)網(wǎng)站管理工作細則》，要求互聯(lián)網(wǎng)IP地址、互聯(lián)網(wǎng)絡(luò)域名等網(wǎng)站管理基礎(chǔ)信息數(shù)據(jù)庫的完整、準確。但隨著新技術(shù)應用和發(fā)展，導致網(wǎng)站真實IP地址被隱藏，這給通信管理局進行ICP、IP地址信息備案管理、違法違規(guī)網(wǎng)站的查處、互聯(lián)網(wǎng)接入服務(wù)市場的監(jiān)管、網(wǎng)站年度審核等工作帶來了嚴重的挑戰(zhàn)，本專題通過對互聯(lián)網(wǎng)IP地址隱藏情況進行分析，研究各場景真實IP地址查找方法，并對結(jié)合管理手段對互聯(lián)網(wǎng)網(wǎng)站進行管理。

1 真實IP地址隱藏場景

1.1 CDN加速導致IP隱藏

CDN服務(wù)：內(nèi)容分布網(wǎng)絡(luò)——content distribution network（cdn）是構(gòu)筑在現(xiàn)有的internet上的一種先進的流量分配網(wǎng)絡(luò)。該網(wǎng)絡(luò)將網(wǎng)站源服務(wù)器中的內(nèi)容存儲到分布于各地的應用節(jié)點服務(wù)器中，通過網(wǎng)絡(luò)的動態(tài)流量分配控制器，將用戶請求自動指向到健康可用并且距離用戶最近的應用節(jié)點服務(wù)器上，以提高用戶訪問的響應速度和服務(wù)的可用性，以下是CDN技術(shù)訪問原理：

由此，當用戶訪問節(jié)點服務(wù)器的時候，訪問的IP地址也就是節(jié)點服務(wù)器的IP地址，并非WEB服務(wù)器真實。

1.2 安全防護導致IP隱藏

1.2.1 云安全防護導致IP隱藏

市面上提供云防護產(chǎn)品的廠家很多，常見的有安恒的玄武盾、知道創(chuàng)宇、上海云盾等，這些廠家基本都是將用戶的域名解析指向到自己的云防護節(jié)點上或者干脆直接采用廠家的DNS解析服務(wù)，通過自己的高防云服務(wù)器來為用戶提供安全防護，云防護節(jié)點則部署在各地CDN節(jié)點上。這樣對于普通用戶來說，訪問的是廠家云防護節(jié)點，無法獲取網(wǎng)站的真實IP地址。

1.2.2 本地安全防護導致IP隱藏

本地安全防護常見部署模式包括：透明代理、反向代理、路由代理，其中反向代理模式反向代理模式是指將真實服務(wù)器的地址映射到反向代理服務(wù)器上。此時代理服務(wù)器對外就表現(xiàn)為一個真實服務(wù)器。由于客戶端訪問的就是安全防護設(shè)備。

1.3 IP負載均衡導致IP隱藏

IP負載均衡將可以將多個WEB應用請求分攤到多個WEB服務(wù)器上，從而提高并發(fā)處理能力，但用戶訪問的地址為其實IP負載均衡設(shè)備虛擬地址，從而實現(xiàn)了真實IP地址的隱藏。

1.4 智能DNS導致IP隱藏

智能DNS就是根據(jù)用戶的來路，自動智能化判斷來路IP返回給用戶，而不需要用戶進行選擇。如下圖所示，比方一個企業(yè)的站點三個運營商的帶寬都有：電信、網(wǎng)通、移動，同樣有三個來自不同運營商網(wǎng)絡(luò)的訪問用戶，那電信訪問企業(yè)網(wǎng)址的時候，智能DNS會自動根據(jù)IP判斷，再從電信返回給電信用戶；其他的也同理。

1.5 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換導致IP隱藏

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，Network Address Translation）是一種將一組 IP地址映射到另一組 IP，對于普通用戶來說是透明的，用戶訪問的是轉(zhuǎn)換以后的地址，從而實現(xiàn)了真實地址隱藏。此技術(shù)一般用于內(nèi)網(wǎng)地址轉(zhuǎn)換。

2 帶來安全挑戰(zhàn)

由于以上技術(shù)的應用導致了互聯(lián)網(wǎng)站真實IP地址被隱藏，為現(xiàn)有工作帶來了嚴重的挑戰(zhàn)：

1）存在監(jiān)管風險

難以溯源、封堵，增加了對違法違規(guī)網(wǎng)站封堵的難度。

2）管理風險

加大了對網(wǎng)站備案管理難度，難以區(qū)分哪些IP地址上的網(wǎng)站未進行備案。

3）安全風險

（1）CDN自身存在安全漏洞，增加網(wǎng)站被篡改風險；

（2）由于域名解析指向的是防護節(jié)點、或CDN，導致用戶數(shù)據(jù)在CDN或防護設(shè)備上被獲取。

4）安全風險監(jiān)控難度加大

由于網(wǎng)站接入IP與域名解析地址對應關(guān)系更加復雜，導致DNS篡改、DNS投毒等安全事件難度加大。

3 安全建議

針對以上IP地址隱藏場景部分可采用附件一中的方法進行真實IP地址的查找，但其適用場景有限，只適用于10%-20%的互聯(lián)網(wǎng)站。為進一步提高互聯(lián)網(wǎng)站可配合相關(guān)非技術(shù)手段進行互聯(lián)網(wǎng)站管理，以下是針對本文中IP隱藏場景可采用的非技術(shù)手段進行闡述：

1） CDN加速、云防護隱藏IP地址場景，可要求CDN加速及云防護提供商提供網(wǎng)站加速及防護日志，日志內(nèi)容包括域名、防護或加速節(jié)點IP、互聯(lián)網(wǎng)站接入IP等信息。

2） 對于使用本地安全防護導致解析地址與接入地址不一致時，可采用備案方式將域名與真實IP、防護地址進行備案。

3） 對于使用智能DNS的企業(yè)，需提供智能DNS解析記錄日志，日志包括解析域名、IP地址、原地址等。

4） 對于使用NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的企業(yè)導致解析地址與接入地址不一致的，需要留存并提供NAT地址轉(zhuǎn)換記錄，記錄包括域名、IP地址、NAT轉(zhuǎn)化后地址等。

5） 針對政府機構(gòu)自行建設(shè)的云防護平臺，采用“誰運營誰負責”原則，由建設(shè)單位對互聯(lián)網(wǎng)IP地址及域名進行管理。

6） 總結(jié)

通過隨機抽取了近600進行分析，發(fā)現(xiàn)15%使用的是阿里云服務(wù)器，3%的網(wǎng)站使用了CDN加速技術(shù)，7%的網(wǎng)站采用了web應用防火墻，5%的網(wǎng)站使用云防護技術(shù)，14%的網(wǎng)站使用負載均衡技術(shù)，由于以上技術(shù)使用，均可能導致備案IP與接入地址不符。

4 應用技術(shù)

CDN加速、云安全防護、本地安全防護、IP負載均衡、智能DNS、NAT網(wǎng)絡(luò)地址轉(zhuǎn)化；

4.1 商業(yè)、業(yè)務(wù)應用場景

1） CDN適用于站點加速、點播、直播等場景，將源站內(nèi)容分發(fā)至最接近用戶的節(jié)點，使用戶可就近取得所需內(nèi)容，該技術(shù)常用于向多地用戶提供的WEB應用服務(wù)的企業(yè)或單位。

2） 云安全防護采用云服務(wù)模式，在各地部署防護節(jié)點，可快速部署網(wǎng)站安全，提供統(tǒng)一的網(wǎng)站安全防護，該技術(shù)能夠為企業(yè)或單位提供快捷網(wǎng)站的接入，而且成本較低。

3） 本地安全防護是指傳統(tǒng)的web應用防火墻提供的安全防護，可幫助企業(yè)提供WEB應用常用攻擊，應用場景大，產(chǎn)品比較成熟，現(xiàn)有企業(yè)使用較多。

4） 負載均衡應用于WEB訪問量大，需要多臺服務(wù)器共同承擔訪問壓力場景，適用于企業(yè)單位網(wǎng)站用戶多，對實時響應要求較高的企業(yè)。

5） 智能DNS能自動判斷訪問者的IP地址并解析出對應的IP地址，使網(wǎng)通用戶會訪問到網(wǎng)通服務(wù)器，電信用戶會訪問到電信服務(wù)器。適用于有多條網(wǎng)絡(luò)鏈路同時提供服務(wù)的企業(yè)，啟動鏈路優(yōu)化的作用。

6） NAT網(wǎng)絡(luò)地址轉(zhuǎn)化技術(shù)一般用于內(nèi)網(wǎng)地址轉(zhuǎn)換，將內(nèi)網(wǎng)地址轉(zhuǎn)換為外網(wǎng)地址，為公眾提供網(wǎng)絡(luò)服務(wù)。

4.2 隱藏真實Ip的風險

1） CDN加速增加違規(guī)網(wǎng)站封堵的難度、加大了站備案管理難度、增加網(wǎng)站被篡改風險、增加了用戶數(shù)據(jù)泄露風險、增加了安全事件監(jiān)控難度。

2） 云安全防護增加違規(guī)網(wǎng)站封堵的難度、加大了站備案管理難度、增加了用戶數(shù)據(jù)泄露風險、增加了安全事件監(jiān)控難度。

3） 本地安全防護增加了安全事件監(jiān)控難度、加大了站備案管理難度。

4） 負載均衡增加了安全事件監(jiān)控難度、加大了站備案管理難度、增加違規(guī)網(wǎng)站封堵的難度。

5） 智能DNS增加了安全事件監(jiān)控難度、加大了站備案管理難度、增加違規(guī)網(wǎng)站封堵的難度。

6） NAT網(wǎng)絡(luò)地址轉(zhuǎn)化增加了安全事件監(jiān)控難度、加大了站備案管理難度。

4.3 管理上的建議

1） CDN加速：要求CDN加速及云防護提供商提供網(wǎng)站加速及防護日志，日志內(nèi)容包括域名、防護或加速節(jié)點IP、互聯(lián)網(wǎng)站接入IP等信息；

2） 云安全防護：CDN加速、云防護隱藏IP地址場景，可要求CDN加速及云防護提供商提供網(wǎng)站加速及防護日志，日志內(nèi)容包括域名、防護或加速節(jié)點IP、互聯(lián)網(wǎng)站接入IP等信息；

3） 本地安全防護：對于使用本地安全防護導致解析地址與接入地址不一致時，可采用備案方式將域名與真實IP、防護地址進行備案；

4） 負載均衡：提供IP負載多臺服務(wù)器IP地址；

5） 智能DNS：于使用智能DNS的企業(yè)，需提供智能DNS解析記錄日志，日志包括解析域名、IP地址、原地址等；

6） NAT網(wǎng)絡(luò)地址轉(zhuǎn)化：于使用NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的企業(yè)導致解析地址與接入地址不一致的，需要留存并提供NAT地址轉(zhuǎn)換記錄，記錄包括域名、IP地址、NAT轉(zhuǎn)化后地址等。

附件一：技術(shù)手段IP地址查找方法

以下是針對各個IP隱藏場景所采用的技術(shù)手段：

IP地址隱藏場景：CDN加速、云安全防護、本地安全防護、IP負載均衡、智能DNS、NAT網(wǎng)絡(luò)地址轉(zhuǎn)化。

技術(shù)識別手段：頂級域名解析法、二級域名解析法、域名歷史解析記錄、利用國外主機來PING、郵件服務(wù)、頂級域名解析法、二級域名解析法、域名歷史解析記錄、郵件服務(wù)、查找探針方法、F5 LTM解碼法。

適用場景：頂級域名未做加速、未所有的二級域名放cdn上、未做國外的CDN、服務(wù)器本地自帶sendmail、頂級域名未做加速、未所有的二級域名防護、服務(wù)器本地自帶sendmail、在服務(wù)上具有類似于phpinfo類探針、F5設(shè)備做的負載均衡。

4.3.1 針對CDN場景IP地址查找

在CDN做得比較，或者整個站都用CDN加速了，幾乎找不到他的源站的真實IP的，因為對于公眾用戶來說真實IP被CDN給屏蔽了，是個黑盒子。下面，我們從一些特別的角度去繞過CDN找源站IP。

4.3.1.1 頂級域名解析

因為了解到現(xiàn)有很多CDN廠商基本只要求把www.xxx.com cname到cdn主服務(wù)器上去，而且有人為了維護網(wǎng)站時更方便，不用等cdn緩存，只讓WWW域名使用cdn，頂級域名不使用。所以試著把目標網(wǎng)站的www去掉，ping一下頂級域名，看ip是否為真實地址。

4.3.1.2 二級域名法

目標站點一般不會把所有的二級域名放cdn上，比如試驗性質(zhì)地二級域名。baidu site一下目標的域名，看有沒有二級域名出現(xiàn)，挨個排查，確定了沒使用cdn的二級域名后，本地將目標域名綁定到同ip，能訪問就說明目標站與此二級域名在同一個服務(wù)器上。

不在同一服務(wù)器也可能在同C段，掃描C段所有開80端口的ip，挨個試。

如果google搜不到也不代表沒有，我們拿常見的二級域名構(gòu)造一個字典，猜出它的二級域名。比如mail、cache、img。

4.3.1.3 查找域名歷史解析記錄

指的是查找域名歷史解析記錄，因為域名在上CDN之前用的IP，很有可能就是CDN的真實源IP地址。

有個專門的網(wǎng)站提供域名解析歷史記錄查詢：

http：//toolbar.netcraft.com/site_report？url=www.xxx.com

4.3.1.4 用國外主機來ping

大部分CDN提供商只針對國內(nèi)市場，而對國外市場幾乎是不做CDN，所以有很大的概率會直接解析到真實IP。用國外的多節(jié)點ping工具，例如just-ping，全世界幾十個節(jié)點ping目標域名，很有可能找到真實ip。

域名：http：//www.just-ping.com/

4.3.1.5 郵件服務(wù)

有的服務(wù)器本地自帶sendmail… 注冊之后，會主動發(fā)一封郵件給我們。。。 好吧。打開郵件的源代碼，就能看到服務(wù)器的真實Ip了。有的大型互聯(lián)網(wǎng)網(wǎng)站會有自己的Mailserver…應該也是處在一個網(wǎng)段的， 那個網(wǎng)段打開80的一個一個進行測試。

4.3.2 針對云防護場景IP地址查找

云安全防護IP隱藏的原理與CDN加速隱藏IP地址原理一致，可利用1.1.2章節(jié)的辦法進行真實IP地址查找。

4.3.3 針對本地防護場景IP地址查找

針對此類IP地址隱藏情況，查找真實IP地址比較困難，可利用查找phpinfo（）之類的探針方法獲取服務(wù)器真實IP地址。

4.3.4 針對負載均衡場景IP地址查找

針對此類IP地址隱藏情況，可利用負載均衡的屬性獲取真實IP地址。如F5可通過解析BIGipServerpool獲取獲取真實IP地址。F5 LTM解碼法即當服務(wù)器使用F5 LTM做負載均衡時，通過對set-cookie關(guān)鍵字的解碼真實ip也可被獲取，例如：Set-Cookie： BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小節(jié)的十進制數(shù)即487098378取出來，然后將其轉(zhuǎn)為十六進制數(shù)1d08880a，接著從后至前，以此取四位數(shù)出來，也就是0a.88.08.1d，最后依次把他們轉(zhuǎn)為十進制數(shù)10.136.8.29，也就是最后的真實ip。

【通聯(lián)編輯：李雅琪】