通过该应用我们可以初步判定该IP是否为真实IP地址,例如:在反查网站IP时,如果此网站有1000多个不同域名,那么这个IP多半不是真实IP。若IP定位在常见的CDN服务器上,这个IP也不是真实IP地址;
近年来电信网络诈骗犯罪组织出现职业化倾向,一些大的诈骗团伙以公司化企业化运作管理,拥有严密的组织结构;通过查询到的域名分析梳理犯罪分子的业务部门,例如OA、业务、管理后台等;
有一些非法网站无法直接通过IP进行访问,通常打开后会显示400,500等错误,但是通过域名却可以正常访问到该网站。在实战过程中,我们通过调证或其它手段得到目标服务器IP后,往往无法知道该IP上绑定的域名是什么,此时我们可以通过【IP反查域名】工具,找到该IP所绑定的域名,进而访问到目标网站,进行后续侦查操作;
有一些钓鱼网站,由于钓鱼网站域名往往由于被封禁,生命周期短,诈骗分子会频繁的进行域名更换,案发后,当我们拿到涉案网站域名和IP时,涉案域名可能已经被弃用,无法进行后续侦查操作。此时,我们可以通过【IP反查域名】工具,查找涉案IP所绑定的新域名,进而访问到目标网站,进行后续侦查操作;
使用查询的域名反查IP地址,进一步扩充线索。
一.DNS历史解析记录
案例1:为了方便用户访问,我们常常将www.test.com 和 test.com 解析到同一个站点,而CDN只配置了www.test.com,通过访问test.com,就可以绕过 CDN 了。
案例2:站点同时支持http和https访问,CDN只配置 https协议,那么这时访问http就可以轻易绕过。
cdn除了能隐藏ip,可能还考虑到分配流量不设防的cdn 量大就会挂,高防cdn 要大流量访问。
经受不住大流量冲击的时候可能会显示真实ip。
例如:
patrilic.top > http://patrilic.com
域名更新时,可能老域名同时解析到真实服务器,但是没有部署 CDN 这个可以通过搜集域名备案的邮箱去反查,可能会有意外收获。
例如:
Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小节的十进制数即487098378取出来,然后将其转为十六进制数1d08880a,接着从后至前,以此取四位数出来,也就是0a.88.08.1d,最后依次把他们转为十进制数10.136.8.29,也就是最后的真实ip。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/77123.html