كيف تجد عنوان IP الحقيقي خلف Cloudflare؟ دليل تقني

عند فحص مواقع الحجز المزيفة التي زادت مؤخرًا في قطاع الفنادق التركي، يتبين أن الغالبية العظمى منها مستضافة خلف شبكة توصيل المحتوى (CDN) الخاصة بـ Cloudflare. هذا الاختيار ليس من قبيل الصدفة؛ حيث إن Cloudflare يجعل عمليات الإزالة (takedown) أكثر صعوبة بشكل كبير عن طريق إخفاء عنوان IP الحقيقي للخادم.

عندما قمنا بتحليل مئات المواقع الفندقية المزيفة، وجدنا أن الغالبية العظمى منها كانت تحت حماية Cloudflare. طبقة الحماية هذه ليست غير قابلة للكسر - ولكن من المستحيل اختراقها دون معرفة الطرق الصحيحة.

يعمل Cloudflare كوكيل عكسي (reverse proxy). تصل كل طلبية إلى الموقع أولاً إلى خوادم Cloudflare، ومن هناك يتم إرسالها إلى خادم الويب الحقيقي، ويعود الرد مرة أخرى إلى المستخدم عبر Cloudflare.

في هذه البنية، يرى الزائر عنوان IP الخاص بـ Cloudflare. يبدو عنوان IP الحقيقي للخادم معطلاً. لكن "معطل" لا يعني "مخفي تمامًا". عند طرح الأسئلة الصحيحة، يمكن أن يتسرب IP الحقيقي من العديد من الأماكن. لمزيد من التحليل المفصل لسلوك المواقع المزيفة خلف Cloudflare، يرجى الرجوع إلى منشورنا cloudflare-arkasindaki-sahte-siteleri-tespit-etme.

هذا هو الخلل الأكثر شيوعًا والأسهل في العثور عليه. حتى لو كان النطاق الرئيسي خلف Cloudflare، فإن النطاقات الفرعية المستخدمة للبريد الإلكتروني غالبًا ما تشير مباشرة إلى عنوان IP الخادم.

عند إجراء استعلام DNS لنطاقات فرعية مثل "mail.sahteotel.com" أو "smtp.sahteotel.com"، غالبًا ما يتم إرجاع عنوان IP الحقيقي مباشرة. السبب تقني: لا يمكن توجيه بروتوكول SMTP (البريد الإلكتروني) عبر وكيل Cloudflare.

في موقع مزيف اكتشفناه في أبحاثنا، بينما كان النطاق الرئيسي تحت حماية Cloudflare، كان النطاق الفرعي "info." يشير مباشرة إلى عنوان IP مقره أوكرانيا. كان هذا IP يستضيف عشرات المواقع الفندقية المزيفة المختلفة.

يتم فتح معظم المواقع المزيفة في البداية بدون Cloudflare، ثم ينتقلون خلف شبكة CDN للحماية من مخاطر الكشف. تظل سجلات DNS من قبل هذا الانتقال في المحفوظات.

تخزن خدمات مثل SecurityTrails و ViewDNS و PassiveDNS عناوين IP التي أشار إليها النطاق في الماضي. قد يكون IP الذي استخدمه موقع مزيف قبل الانتقال إلى Cloudflare مرئيًا في هذه المحفوظات.

يشير خبراء الصناعة إلى أن سجلات IP القديمة هذه ذات أهمية حاسمة في الكشف عن البنية التحتية للخادم التي تستضيف المواقع المزيفة. بمجرد العثور على عنوان IP، يصبح من الممكن سرد جميع المواقع المزيفة الأخرى على نفس IP.

عند الحصول على كل شهادة SSL، لا يتم تسجيل عنوان IP للشخص الذي حصل على الشهادة، ولكن يتم تسجيل اسم النطاق في سجلات CT. ومع ذلك، تحصل بعض الخوادم أيضًا على شهادات لعناوين IP المباشرة الخاصة بها.

في أدوات البحث في سجلات CT مثل crt.sh، عند إجراء بحث قائم على عنوان IP، يمكن رؤية سجلات الشهادات لجميع النطاقات المستضافة على هذا IP. هذه الطريقة فعالة للغاية للعثور على مواقع مزيفة أخرى على نفس البنية التحتية بعد تحديد IP.

في حالة حقيقية: بعد العثور على عنوان IP لموقع فندق مزيف باستخدام طريقة النطاق الفرعي، اكتشفنا 27 نطاقًا مزيفًا آخر لنفس IP في بحثنا في سجلات CT. كانوا جميعًا على نفس البنية التحتية. لمزيد من المعلومات حول كيفية عمل سجلات CT، يمكنك مراجعة منشورنا sahte-ssl-sertifika-tespiti-rehberi.

Shodan هو محرك بحث يقوم بفهرسة الأجهزة والخوادم المتصلة بالإنترنت. يمكن أن يكشف البحث عن عنوان IP في Shodan عن إصدارات البرامج التي تعمل على هذا الخادم والمنافذ المفتوحة ورؤوس الخدمة (HTTP header).

يمكن استخدام هذه المعلومات كدليل مباشر وتساعد على فهم البنية التحتية للخادم بشكل أفضل. في بعض المواقع المزيفة التي قمنا بتحليلها، كان من الممكن تحديد شركة الاستضافة المسجلة للمواقع المزيفة من خلال معلومات رأس HTTP التي تم الحصول عليها من مسح Shodan.

يمكن لخوادم الويب التي تم تكوينها بشكل خاطئ بث معلومات مفصلة عن الخادم عند نقاط نهاية مثل "/server-status" أو "/server-info". في الخوادم التي بها هذا الخلل، يمكن سرد جميع أسماء المضيفين الظاهريين الذين يستخدمون هذا الخادم.

تعطل المعلومات التي تم الحصول عليها من مثل هذا الخلل حماية Cloudflare تمامًا. لأنه من خلال إشعار الخادم نفسه، يتم الكشف عن جميع النطاقات وعلاقة IP. في أحد المواقع المزيفة التي قمنا بتحليلها، واجهنا هذا الخلل بالضبط؛ كان الخادم يستضيف 31 نطاقًا مزيفًا مختلفًا وقدم معلومات عنها جميعًا.

تخزن Wayback Machine (archive.org) وذاكرة التخزين المؤقت لـ Google الإصدارات القديمة من المواقع. قد تكون معلومات الخادم الذي تم استضافة موقع مزيف عليه قبل الانتقال إلى Cloudflare مرئية في هذه المحفوظات. يمكن أن تكون عناوين IP المكتوبة بشكل ثابت في كود HTML القديم للموقع أو مراجع CDN القديمة ذات قيمة للكشف.

بالإضافة إلى ذلك، تقدم بعض المواقع المزيفة ملفات مرئية ووسائط مباشرة من الخادم الأصلي. عند فحص كود مصدر الصفحة، من الممكن رؤية أن الملفات التي لا تمر عبر Cloudflare يتم تقديمها مباشرة باستخدام عنوان IP.

يرسل مشغلو المواقع المزيفة أحيانًا رسائل بريد إلكتروني لضحاياهم: تأكيد حجز مزيف أو إشعار حملة أو رد خدمة عملاء. تحتوي هذه الرسائل الإلكترونية على معلومات فنية قيمة.

عند فحص رأس البريد الإلكتروني الوارد، تظهر عناوين IP للخوادم التي مر بها البريد الإلكتروني في سطور "Received:". إذا كان مشغل الموقع المزيف يحتفظ بالبنية التحتية للبريد الإلكتروني بشكل مستقل عن Cloudflare، فيمكن أن تكشف سطور الرأس هذه عن عنوان IP الحقيقي للخادم.

يعني Cloudflare أنه لا يمكن إنشاء اتصال بعنوان IP المكتشف لموقع مزيف عبر Cloudflare. ومع ذلك، فإن معلومات IP هذه ذات أهمية حاسمة في عملية الإزالة:

• شكوى إلى شركة الاستضافة: عند معرفة عنوان IP الحقيقي، يمكن تحديد شركة الاستضافة التي ينتمي إليها الخادم، ويمكن إرسال إشعار DMCA (قانون الألفية الجديدة لحقوق طبع ونشر المواد الرقمية) أو إشعار إساءة استخدام مباشرة إلى تلك الشركة.
• شكوى إلى Cloudflare: يمكن لـ Cloudflare قطع الخدمة عن المواقع التي تنتهك سياسة إساءة الاستخدام الخاصة بها؛ تعمل معلومات الخادم الحقيقية كدليل داعم قوي في هذه العملية.
• طلب إلى مكتب المدعي العام: معلومات IP هي الدليل الفني الأكثر أهمية في تحديد المنظمة.

يتطلب تطبيق هذه الطرق السبع يدويًا معرفة فنية ويستغرق وقتًا. في بحثنا، استغرق الوصول إلى عنوان IP الحقيقي لبعض المواقع المزيفة ساعات.

هل من القانوني العثور على عنوان IP الحقيقي لموقع خلف Cloudflare؟ نعم. يعد الاستعلام عن DNS وبحث سجل CT وفحص المحفوظات العامة إجراءات قانونية تمامًا. تستخدم هذه الطرق مصادر بيانات متاحة للجمهور فقط؛ ولا تتضمن أي وصول غير مصرح به إلى أي نظام. يعد جمع هذه المعلومات لمكافحة موقع مزيف أمرًا مشروعًا وضروريًا.

ما هي المعلومات التي يوفرها Shodan؟ يسرد Shodan المنافذ المفتوحة والخدمات قيد التشغيل (خادم الويب، SSH، FTP)، وإصدارات البرامج، ورؤوس الخدمة على عنوان IP. تساعد هذه المعلومات على فهم البنية التحتية للاستضافة التي يعمل عليها الخادم ويمكن استخدامها كدليل فني في طلبات الإزالة.

لماذا يعتبر SecurityTrails ذا قيمة كبيرة؟ يعرض SecurityTrails سجل DNS الكامل لأي نطاق وجميع سجلات A المسجلة لذلك النطاق. بفضل هذه الخدمة، من الممكن معرفة IP الذي استخدمه موقع مزيف قبل الانتقال خلف شبكة CDN. بعد تحديد IP، يصبح من الأسهل أيضًا العثور على مواقع مزيفة أخرى على نفس البنية التحتية.

هل يمكن طلب الإزالة دون تحديد IP؟ نعم، طلبات الإزالة على أساس النطاق ممكنة. تقبل سياسات ICANN وشركات التسجيل إشعارات إساءة الاستخدام حتى دون تحديد مالك النطاق. ومع ذلك، عند معرفة عنوان IP الحقيقي، يمكن تقديم طلب مباشر إلى شركة الاستضافة؛ وهذا المسار يعطي نتائج أسرع بكثير.

جرب أداتنا المجانية التي تكتشف تلقائيًا عناوين IP الحقيقية والبنية التحتية للخوادم التي تستضيف مواقع فندقية مزيفة متعلقة بك. يعطي الفحص الأول نتائج في غضون دقائق.