周海龍 周穎 馮雪山

摘要：論文主要分析IP地址隱藏在真實(shí)場(chǎng)景及虛擬化場(chǎng)景下的作用。IP地址隱藏面臨風(fēng)險(xiǎn)主要為：存在監(jiān)管風(fēng)險(xiǎn)、存在管理風(fēng)險(xiǎn)、存在安全風(fēng)險(xiǎn)、安全風(fēng)險(xiǎn)監(jiān)控難度加大。IP地址隱藏可分類為CDN加速導(dǎo)致IP隱藏、安全防護(hù)導(dǎo)致IP地址隱藏、IP負(fù)載均衡導(dǎo)致IP地址隱藏、智能DNS導(dǎo)致IP地址隱藏、NAT網(wǎng)絡(luò)地址轉(zhuǎn)換導(dǎo)致IP地址隱藏等。針對(duì)以上IP地址隱藏場(chǎng)景部分可采用附件一中的方法進(jìn)行真實(shí)IP地址的查找，但其適用場(chǎng)景有限，只適用于10%-20%的互聯(lián)網(wǎng)站。為進(jìn)一步提高互聯(lián)網(wǎng)站可配合相關(guān)非技術(shù)手段進(jìn)行互聯(lián)網(wǎng)站管理，以下是針對(duì)本文中IP隱藏場(chǎng)景可采用的非技術(shù)手段進(jìn)行闡述。

關(guān)鍵詞：CDN加速導(dǎo)致IP地址隱藏；安全防護(hù)導(dǎo)致IP地址隱藏；智能DNS導(dǎo)致IP地址隱藏；NAT網(wǎng)絡(luò)地址轉(zhuǎn)化導(dǎo)致IP地址隱藏

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）11-0073-03

為切實(shí)加強(qiáng)互聯(lián)網(wǎng)站管理工作，規(guī)范、細(xì)化互聯(lián)網(wǎng)行業(yè)管理流程，促進(jìn)我國互聯(lián)網(wǎng)全面、協(xié)調(diào)、可持續(xù)發(fā)展，信息化產(chǎn)業(yè)部制定了《互聯(lián)網(wǎng)站管理工作細(xì)則》，要求互聯(lián)網(wǎng)IP地址、互聯(lián)網(wǎng)絡(luò)域名等網(wǎng)站管理基礎(chǔ)信息數(shù)據(jù)庫的完整、準(zhǔn)確。但隨著新技術(shù)應(yīng)用和發(fā)展，導(dǎo)致網(wǎng)站真實(shí)IP地址被隱藏，這給通信管理局進(jìn)行ICP、IP地址信息備案管理、違法違規(guī)網(wǎng)站的查處、互聯(lián)網(wǎng)接入服務(wù)市場(chǎng)的監(jiān)管、網(wǎng)站年度審核等工作帶來了嚴(yán)重的挑戰(zhàn)，本專題通過對(duì)互聯(lián)網(wǎng)IP地址隱藏情況進(jìn)行分析，研究各場(chǎng)景真實(shí)IP地址查找方法，并對(duì)結(jié)合管理手段對(duì)互聯(lián)網(wǎng)網(wǎng)站進(jìn)行管理。

1 真實(shí)IP地址隱藏場(chǎng)景

1.1 CDN加速導(dǎo)致IP隱藏

CDN服務(wù)：內(nèi)容分布網(wǎng)絡(luò)——content distribution network（cdn）是構(gòu)筑在現(xiàn)有的internet上的一種先進(jìn)的流量分配網(wǎng)絡(luò)。該網(wǎng)絡(luò)將網(wǎng)站源服務(wù)器中的內(nèi)容存儲(chǔ)到分布于各地的應(yīng)用節(jié)點(diǎn)服務(wù)器中，通過網(wǎng)絡(luò)的動(dòng)態(tài)流量分配控制器，將用戶請(qǐng)求自動(dòng)指向到健康可用并且距離用戶最近的應(yīng)用節(jié)點(diǎn)服務(wù)器上，以提高用戶訪問的響應(yīng)速度和服務(wù)的可用性，以下是CDN技術(shù)訪問原理：

由此，當(dāng)用戶訪問節(jié)點(diǎn)服務(wù)器的時(shí)候，訪問的IP地址也就是節(jié)點(diǎn)服務(wù)器的IP地址，并非WEB服務(wù)器真實(shí)。

1.2 安全防護(hù)導(dǎo)致IP隱藏

1.2.1 云安全防護(hù)導(dǎo)致IP隱藏

市面上提供云防護(hù)產(chǎn)品的廠家很多，常見的有安恒的玄武盾、知道創(chuàng)宇、上海云盾等，這些廠家基本都是將用戶的域名解析指向到自己的云防護(hù)節(jié)點(diǎn)上或者干脆直接采用廠家的DNS解析服務(wù)，通過自己的高防云服務(wù)器來為用戶提供安全防護(hù)，云防護(hù)節(jié)點(diǎn)則部署在各地CDN節(jié)點(diǎn)上。這樣對(duì)于普通用戶來說，訪問的是廠家云防護(hù)節(jié)點(diǎn)，無法獲取網(wǎng)站的真實(shí)IP地址。

1.2.2 本地安全防護(hù)導(dǎo)致IP隱藏

本地安全防護(hù)常見部署模式包括：透明代理、反向代理、路由代理，其中反向代理模式反向代理模式是指將真實(shí)服務(wù)器的地址映射到反向代理服務(wù)器上。此時(shí)代理服務(wù)器對(duì)外就表現(xiàn)為一個(gè)真實(shí)服務(wù)器。由于客戶端訪問的就是安全防護(hù)設(shè)備。

1.3 IP負(fù)載均衡導(dǎo)致IP隱藏

IP負(fù)載均衡將可以將多個(gè)WEB應(yīng)用請(qǐng)求分?jǐn)偟蕉鄠€(gè)WEB服務(wù)器上，從而提高并發(fā)處理能力，但用戶訪問的地址為其實(shí)IP負(fù)載均衡設(shè)備虛擬地址，從而實(shí)現(xiàn)了真實(shí)IP地址的隱藏。

1.4 智能DNS導(dǎo)致IP隱藏

智能DNS就是根據(jù)用戶的來路，自動(dòng)智能化判斷來路IP返回給用戶，而不需要用戶進(jìn)行選擇。如下圖所示，比方一個(gè)企業(yè)的站點(diǎn)三個(gè)運(yùn)營商的帶寬都有：電信、網(wǎng)通、移動(dòng)，同樣有三個(gè)來自不同運(yùn)營商網(wǎng)絡(luò)的訪問用戶，那電信訪問企業(yè)網(wǎng)址的時(shí)候，智能DNS會(huì)自動(dòng)根據(jù)IP判斷，再從電信返回給電信用戶；其他的也同理。

1.5 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換導(dǎo)致IP隱藏

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，Network Address Translation）是一種將一組 IP地址映射到另一組 IP，對(duì)于普通用戶來說是透明的，用戶訪問的是轉(zhuǎn)換以后的地址，從而實(shí)現(xiàn)了真實(shí)地址隱藏。此技術(shù)一般用于內(nèi)網(wǎng)地址轉(zhuǎn)換。

2 帶來安全挑戰(zhàn)

由于以上技術(shù)的應(yīng)用導(dǎo)致了互聯(lián)網(wǎng)站真實(shí)IP地址被隱藏，為現(xiàn)有工作帶來了嚴(yán)重的挑戰(zhàn)：

1）存在監(jiān)管風(fēng)險(xiǎn)

難以溯源、封堵，增加了對(duì)違法違規(guī)網(wǎng)站封堵的難度。

2）管理風(fēng)險(xiǎn)

加大了對(duì)網(wǎng)站備案管理難度，難以區(qū)分哪些IP地址上的網(wǎng)站未進(jìn)行備案。

3）安全風(fēng)險(xiǎn)

（1）CDN自身存在安全漏洞，增加網(wǎng)站被篡改風(fēng)險(xiǎn)；

（2）由于域名解析指向的是防護(hù)節(jié)點(diǎn)、或CDN，導(dǎo)致用戶數(shù)據(jù)在CDN或防護(hù)設(shè)備上被獲取。

4）安全風(fēng)險(xiǎn)監(jiān)控難度加大

由于網(wǎng)站接入IP與域名解析地址對(duì)應(yīng)關(guān)系更加復(fù)雜，導(dǎo)致DNS篡改、DNS投毒等安全事件難度加大。

3 安全建議

針對(duì)以上IP地址隱藏場(chǎng)景部分可采用附件一中的方法進(jìn)行真實(shí)IP地址的查找，但其適用場(chǎng)景有限，只適用于10%-20%的互聯(lián)網(wǎng)站。為進(jìn)一步提高互聯(lián)網(wǎng)站可配合相關(guān)非技術(shù)手段進(jìn)行互聯(lián)網(wǎng)站管理，以下是針對(duì)本文中IP隱藏場(chǎng)景可采用的非技術(shù)手段進(jìn)行闡述：

1） CDN加速、云防護(hù)隱藏IP地址場(chǎng)景，可要求CDN加速及云防護(hù)提供商提供網(wǎng)站加速及防護(hù)日志，日志內(nèi)容包括域名、防護(hù)或加速節(jié)點(diǎn)IP、互聯(lián)網(wǎng)站接入IP等信息。

2） 對(duì)于使用本地安全防護(hù)導(dǎo)致解析地址與接入地址不一致時(shí)，可采用備案方式將域名與真實(shí)IP、防護(hù)地址進(jìn)行備案。

3） 對(duì)于使用智能DNS的企業(yè)，需提供智能DNS解析記錄日志，日志包括解析域名、IP地址、原地址等。

4） 對(duì)于使用NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的企業(yè)導(dǎo)致解析地址與接入地址不一致的，需要留存并提供NAT地址轉(zhuǎn)換記錄，記錄包括域名、IP地址、NAT轉(zhuǎn)化后地址等。

5） 針對(duì)政府機(jī)構(gòu)自行建設(shè)的云防護(hù)平臺(tái)，采用“誰運(yùn)營誰負(fù)責(zé)”原則，由建設(shè)單位對(duì)互聯(lián)網(wǎng)IP地址及域名進(jìn)行管理。

6） 總結(jié)

通過隨機(jī)抽取了近600進(jìn)行分析，發(fā)現(xiàn)15%使用的是阿里云服務(wù)器，3%的網(wǎng)站使用了CDN加速技術(shù)，7%的網(wǎng)站采用了web應(yīng)用防火墻，5%的網(wǎng)站使用云防護(hù)技術(shù)，14%的網(wǎng)站使用負(fù)載均衡技術(shù)，由于以上技術(shù)使用，均可能導(dǎo)致備案IP與接入地址不符。

4 應(yīng)用技術(shù)

CDN加速、云安全防護(hù)、本地安全防護(hù)、IP負(fù)載均衡、智能DNS、NAT網(wǎng)絡(luò)地址轉(zhuǎn)化；

4.1 商業(yè)、業(yè)務(wù)應(yīng)用場(chǎng)景

1） CDN適用于站點(diǎn)加速、點(diǎn)播、直播等場(chǎng)景，將源站內(nèi)容分發(fā)至最接近用戶的節(jié)點(diǎn)，使用戶可就近取得所需內(nèi)容，該技術(shù)常用于向多地用戶提供的WEB應(yīng)用服務(wù)的企業(yè)或單位。

2） 云安全防護(hù)采用云服務(wù)模式，在各地部署防護(hù)節(jié)點(diǎn)，可快速部署網(wǎng)站安全，提供統(tǒng)一的網(wǎng)站安全防護(hù)，該技術(shù)能夠?yàn)槠髽I(yè)或單位提供快捷網(wǎng)站的接入，而且成本較低。

3） 本地安全防護(hù)是指?jìng)鹘y(tǒng)的web應(yīng)用防火墻提供的安全防護(hù)，可幫助企業(yè)提供WEB應(yīng)用常用攻擊，應(yīng)用場(chǎng)景大，產(chǎn)品比較成熟，現(xiàn)有企業(yè)使用較多。

4） 負(fù)載均衡應(yīng)用于WEB訪問量大，需要多臺(tái)服務(wù)器共同承擔(dān)訪問壓力場(chǎng)景，適用于企業(yè)單位網(wǎng)站用戶多，對(duì)實(shí)時(shí)響應(yīng)要求較高的企業(yè)。

5） 智能DNS能自動(dòng)判斷訪問者的IP地址并解析出對(duì)應(yīng)的IP地址，使網(wǎng)通用戶會(huì)訪問到網(wǎng)通服務(wù)器，電信用戶會(huì)訪問到電信服務(wù)器。適用于有多條網(wǎng)絡(luò)鏈路同時(shí)提供服務(wù)的企業(yè)，啟動(dòng)鏈路優(yōu)化的作用。

6） NAT網(wǎng)絡(luò)地址轉(zhuǎn)化技術(shù)一般用于內(nèi)網(wǎng)地址轉(zhuǎn)換，將內(nèi)網(wǎng)地址轉(zhuǎn)換為外網(wǎng)地址，為公眾提供網(wǎng)絡(luò)服務(wù)。

4.2 隱藏真實(shí)Ip的風(fēng)險(xiǎn)

1） CDN加速增加違規(guī)網(wǎng)站封堵的難度、加大了站備案管理難度、增加網(wǎng)站被篡改風(fēng)險(xiǎn)、增加了用戶數(shù)據(jù)泄露風(fēng)險(xiǎn)、增加了安全事件監(jiān)控難度。

2） 云安全防護(hù)增加違規(guī)網(wǎng)站封堵的難度、加大了站備案管理難度、增加了用戶數(shù)據(jù)泄露風(fēng)險(xiǎn)、增加了安全事件監(jiān)控難度。

3） 本地安全防護(hù)增加了安全事件監(jiān)控難度、加大了站備案管理難度。

4） 負(fù)載均衡增加了安全事件監(jiān)控難度、加大了站備案管理難度、增加違規(guī)網(wǎng)站封堵的難度。

5） 智能DNS增加了安全事件監(jiān)控難度、加大了站備案管理難度、增加違規(guī)網(wǎng)站封堵的難度。

6） NAT網(wǎng)絡(luò)地址轉(zhuǎn)化增加了安全事件監(jiān)控難度、加大了站備案管理難度。

4.3 管理上的建議

1） CDN加速：要求CDN加速及云防護(hù)提供商提供網(wǎng)站加速及防護(hù)日志，日志內(nèi)容包括域名、防護(hù)或加速節(jié)點(diǎn)IP、互聯(lián)網(wǎng)站接入IP等信息；

2） 云安全防護(hù)：CDN加速、云防護(hù)隱藏IP地址場(chǎng)景，可要求CDN加速及云防護(hù)提供商提供網(wǎng)站加速及防護(hù)日志，日志內(nèi)容包括域名、防護(hù)或加速節(jié)點(diǎn)IP、互聯(lián)網(wǎng)站接入IP等信息；

3） 本地安全防護(hù)：對(duì)于使用本地安全防護(hù)導(dǎo)致解析地址與接入地址不一致時(shí)，可采用備案方式將域名與真實(shí)IP、防護(hù)地址進(jìn)行備案；

4） 負(fù)載均衡：提供IP負(fù)載多臺(tái)服務(wù)器IP地址；

5） 智能DNS：于使用智能DNS的企業(yè)，需提供智能DNS解析記錄日志，日志包括解析域名、IP地址、原地址等；

6） NAT網(wǎng)絡(luò)地址轉(zhuǎn)化：于使用NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的企業(yè)導(dǎo)致解析地址與接入地址不一致的，需要留存并提供NAT地址轉(zhuǎn)換記錄，記錄包括域名、IP地址、NAT轉(zhuǎn)化后地址等。

附件一：技術(shù)手段IP地址查找方法

以下是針對(duì)各個(gè)IP隱藏場(chǎng)景所采用的技術(shù)手段：

IP地址隱藏場(chǎng)景：CDN加速、云安全防護(hù)、本地安全防護(hù)、IP負(fù)載均衡、智能DNS、NAT網(wǎng)絡(luò)地址轉(zhuǎn)化。

技術(shù)識(shí)別手段：頂級(jí)域名解析法、二級(jí)域名解析法、域名歷史解析記錄、利用國外主機(jī)來PING、郵件服務(wù)、頂級(jí)域名解析法、二級(jí)域名解析法、域名歷史解析記錄、郵件服務(wù)、查找探針方法、F5 LTM解碼法。

適用場(chǎng)景：頂級(jí)域名未做加速、未所有的二級(jí)域名放cdn上、未做國外的CDN、服務(wù)器本地自帶sendmail、頂級(jí)域名未做加速、未所有的二級(jí)域名防護(hù)、服務(wù)器本地自帶sendmail、在服務(wù)上具有類似于phpinfo類探針、F5設(shè)備做的負(fù)載均衡。

4.3.1 針對(duì)CDN場(chǎng)景IP地址查找

在CDN做得比較，或者整個(gè)站都用CDN加速了，幾乎找不到他的源站的真實(shí)IP的，因?yàn)閷?duì)于公眾用戶來說真實(shí)IP被CDN給屏蔽了，是個(gè)黑盒子。下面，我們從一些特別的角度去繞過CDN找源站IP。

4.3.1.1 頂級(jí)域名解析

因?yàn)榱私獾浆F(xiàn)有很多CDN廠商基本只要求把www.xxx.com cname到cdn主服務(wù)器上去，而且有人為了維護(hù)網(wǎng)站時(shí)更方便，不用等cdn緩存，只讓W(xué)WW域名使用cdn，頂級(jí)域名不使用。所以試著把目標(biāo)網(wǎng)站的www去掉，ping一下頂級(jí)域名，看ip是否為真實(shí)地址。

4.3.1.2 二級(jí)域名法

目標(biāo)站點(diǎn)一般不會(huì)把所有的二級(jí)域名放cdn上，比如試驗(yàn)性質(zhì)地二級(jí)域名。baidu site一下目標(biāo)的域名，看有沒有二級(jí)域名出現(xiàn)，挨個(gè)排查，確定了沒使用cdn的二級(jí)域名后，本地將目標(biāo)域名綁定到同ip，能訪問就說明目標(biāo)站與此二級(jí)域名在同一個(gè)服務(wù)器上。

不在同一服務(wù)器也可能在同C段，掃描C段所有開80端口的ip，挨個(gè)試。

如果google搜不到也不代表沒有，我們拿常見的二級(jí)域名構(gòu)造一個(gè)字典，猜出它的二級(jí)域名。比如mail、cache、img。

4.3.1.3 查找域名歷史解析記錄

指的是查找域名歷史解析記錄，因?yàn)橛蛎谏螩DN之前用的IP，很有可能就是CDN的真實(shí)源IP地址。

有個(gè)專門的網(wǎng)站提供域名解析歷史記錄查詢：

http：//toolbar.netcraft.com/site_report？url=www.xxx.com

4.3.1.4 用國外主機(jī)來ping

大部分CDN提供商只針對(duì)國內(nèi)市場(chǎng)，而對(duì)國外市場(chǎng)幾乎是不做CDN，所以有很大的概率會(huì)直接解析到真實(shí)IP。用國外的多節(jié)點(diǎn)ping工具，例如just-ping，全世界幾十個(gè)節(jié)點(diǎn)ping目標(biāo)域名，很有可能找到真實(shí)ip。

域名：http：//www.just-ping.com/

4.3.1.5 郵件服務(wù)

有的服務(wù)器本地自帶sendmail… 注冊(cè)之后，會(huì)主動(dòng)發(fā)一封郵件給我們。。。 好吧。打開郵件的源代碼，就能看到服務(wù)器的真實(shí)Ip了。有的大型互聯(lián)網(wǎng)網(wǎng)站會(huì)有自己的Mailserver…應(yīng)該也是處在一個(gè)網(wǎng)段的， 那個(gè)網(wǎng)段打開80的一個(gè)一個(gè)進(jìn)行測(cè)試。

4.3.2 針對(duì)云防護(hù)場(chǎng)景IP地址查找

云安全防護(hù)IP隱藏的原理與CDN加速隱藏IP地址原理一致，可利用1.1.2章節(jié)的辦法進(jìn)行真實(shí)IP地址查找。

4.3.3 針對(duì)本地防護(hù)場(chǎng)景IP地址查找

針對(duì)此類IP地址隱藏情況，查找真實(shí)IP地址比較困難，可利用查找phpinfo（）之類的探針方法獲取服務(wù)器真實(shí)IP地址。

4.3.4 針對(duì)負(fù)載均衡場(chǎng)景IP地址查找

針對(duì)此類IP地址隱藏情況，可利用負(fù)載均衡的屬性獲取真實(shí)IP地址。如F5可通過解析BIGipServerpool獲取獲取真實(shí)IP地址。F5 LTM解碼法即當(dāng)服務(wù)器使用F5 LTM做負(fù)載均衡時(shí)，通過對(duì)set-cookie關(guān)鍵字的解碼真實(shí)ip也可被獲取，例如：Set-Cookie： BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小節(jié)的十進(jìn)制數(shù)即487098378取出來，然后將其轉(zhuǎn)為十六進(jìn)制數(shù)1d08880a，接著從后至前，以此取四位數(shù)出來，也就是0a.88.08.1d，最后依次把他們轉(zhuǎn)為十進(jìn)制數(shù)10.136.8.29，也就是最后的真實(shí)ip。

【通聯(lián)編輯：李雅琪】