Cloudflare Arxasındakı Əsl IP Necə Tapılır? Texniki Bələdçi

Türk otelçilik sektorunda son dövrlərdə artan saxta rezervasiya saytları araşdırıldıqda, bunların böyük əksəriyyətinin Cloudflare CDN (Məzmun Çatdırılma Şəbəkəsi) arxasında yerləşdiyi görülür. Bu seçim təsadüfi deyil; Cloudflare, real server IP ünvanını gizlətdiyi üçün takedown (ləğv etmə) proseslərini ciddi dərəcədə çətinləşdirir.

Yüzlərlə saxta otel saytını təhlil etdikdə, onların böyük əksəriyyətinin Cloudflare qoruması altında olduğunu müəyyən etdik. Bu qoruma təbəqəsi qırıla bilməz deyil — ancaq doğru üsullar bilinmədən onu aşmaq mümkün deyil.

Cloudflare, bir tərs proxy (reverse proxy) olaraq çalışır. Sayta gələn hər bir sorğu əvvəlcə Cloudflare serverlərinə çatır, oradan real veb serverinə ötürülür və cavab yenidən Cloudflare vasitəsilə istifadəçiyə qaytarılır.

Bu strukturda ziyarətçi, Cloudflare-in IP ünvanını görür. Real server IP-si deaktiv edilmiş kimi görünür. Ancaq "deaktiv edilmiş" demək "tamamilə gizlədilmiş" demək deyil. Doğru suallar verildikdə real IP bir çox yerdən sıza bilər. Saxta saytların Cloudflare arxasındakı davranışları haqqında ətraflı bir təhlil üçün cloudflare-arkasindaki-sahte-siteleri-tespit-etme yazımıza baxa bilərsiniz.

Ən geniş yayılmış və ən asan tapılan boşluqdur. Əsas domen Cloudflare arxasında olsa belə, e-poçt üçün istifadə olunan subdomainlər adətən birbaşa server IP-sinə işarə edir.

"mail.sahteotel.com" və ya "smtp.sahteotel.com" kimi subdomainlər üçün DNS sorğusu edildikdə, əksər hallarda real IP ünvanı birbaşa geri qayıdır. Bunun səbəbi texnikidir: SMTP (e-poçt) protokolu, Cloudflare proxy-si vasitəsilə yönləndirilə bilmir.

Araşdırmalarımızda müəyyən etdiyimiz bir saxta saytda, əsas domen Cloudflare qorumasında ikən "info." subdomaini birbaşa bir Ukrayna mənşəli IP ünvanına işarə edirdi. Bu IP, onlarla fərqli saxta otel saytını saxlayırdı.

Saxta saytların əksəriyyəti başlanğıcda Cloudflare olmadan açılır, daha sonra aşkarlanma riskinə qarşı CDN arxasına keçir. Bu keçiddən əvvəlki DNS qeydləri isə arxivlərdə qalır.

SecurityTrails, ViewDNS və PassiveDNS kimi xidmətlər, bir domenin keçmişdə hansı IP ünvanlarına işarə etdiyini saxlayır. Saxta bir sayt Cloudflare-a keçməmişdən əvvəl istifadə etdiyi IP bu arxivlərdə görünən vəziyyətdə ola bilər.

Sektor mütəxəssisləri, bu köhnə IP qeydlərinin saxta saytların yerləşdiyi server infrastrukturunu ortaya çıxarmaqda kritik əhəmiyyət daşıdığını bildirirlər. Bir IP ünvanı tapıldıqda, eyni IP üzərindəki bütün digər saxta saytları da siyahıya almaq mümkün olur.

Hər bir SSL sertifikatı alındıqda, sertifikatı alan şəxsin IP məlumatı deyil, ancaq domen adı CT loglarına qeyd edilir. Lakin bəzi serverlər, öz birbaşa IP ünvanları üçün də sertifikat ala bilirlər.

crt.sh kimi CT log axtarış alətlərində IP ünvanı əsasında axtarış aparıldıqda, o IP üzərində yerləşən bütün domenlərə aid sertifikat qeydləri görünə bilir. Bu metod, bir IP müəyyən edildikdən sonra eyni infrastrukturda olan digər saxta saytları tapmaq üçün son dərəcə effektivdir.

Real bir hadisədə: bir saxta otel saytının IP ünvanını subdomain metodu ilə tapdıqdan sonra CT loglarında eyni IP üçün apardığımız axtarışda, fərqli 27 saxta domen daha müəyyən etdik. Hamısı eyni infrastruktur üzərində idi. CT loglarının işləmə məntiqi haqqında daha çox məlumat üçün sahte-ssl-sertifika-tespiti-rehberi yazımızı nəzərdən keçirə bilərsiniz.

Shodan, internetə qoşulmuş cihaz və serverləri indeksləyən bir axtarış motorudur. Bir IP ünvanının Shodan-da axtarılması, o serverdə işləyən proqram təminatlarının versiyalarını, açıq portları və xidmət başlıqlarını (HTTP header) ortaya çıxara bilər.

Bu məlumatlar həm birbaşa dəlil olaraq istifadə edilə bilər, həm də server infrastrukturunu daha yaxşı anlamağa kömək edir. Təhlil etdiyimiz saxta saytların bir hissəsində, Shodan taramasından əldə edilən HTTP başlığı məlumatları ilə saxta saytların qeydiyyatdan keçdiyi hosting şirkətinin müəyyən edilməsi mümkün oldu.

Səhv konfiqurasiya edilmiş veb serverləri, "/server-status" və ya "/server-info" kimi son nöqtələrdə (endpoint) ətraflı server məlumatı yaya bilər. Bu açıq olan serverlərdə, o serveri istifadə edən bütün virtual host (virtual ana kompüter) adları siyahıya alına bilər.

Bu cür bir boşluqdan əldə edilən məlumat, Cloudflare qorumasını tamamilə ləğv edir. Çünki serverin öz bildirişi ilə bütün domenlər və IP əlaqəsi üzə çıxır. Təhlil etdiyimiz saxta saytlardan birində tam olaraq bu boşluqla qarşılaşdıq; server 31 fərqli saxta domen saxlayırdı və hamısının məlumatını özü verirdi.

Wayback Machine (archive.org) və Google-un keşi, saytların köhnə versiyalarını saxlayır. Saxta bir sayt Cloudflare-a keçməzdən əvvəl yerləşdiyi serverin məlumatı bu arxivlərdə görünə bilər. Saytın köhnə HTML mənbə kodunda sabit olaraq yazılmış IP ünvanları və ya köhnə CDN istinadları aşkarlama baxımından dəyərli ola bilər.

Bununla yanaşı, bəzi saxta saytlar vizual və media fayllarını birbaşa orijinal server vasitəsilə təqdim edir. Səhifənin mənbə kodunda vizual URL-ləri araşdırdığınızda, Cloudflare-dən keçməyən faylların birbaşa IP ünvanı ilə təqdim edildiyini görmək mümkündür.

Saxta sayt operatorları bəzi hallarda qurbanlarına e-poçt göndərirlər: saxta rezervasiya təsdiqi, kampaniya bildirişi və ya müştəri xidmətləri cavabı. Bu e-poçtlar dəyərli texniki məlumat daşıyır.

Gələn e-poçtun başlığını (header) araşdırdığınızda, e-poçtun keçdiyi serverlərin IP ünvanları "Received:" sətirlərində görünür. Əgər saxta sayt operatoru e-poçt infrastrukturunu Cloudflare-dən müstəqil saxlayırsa, bu başlıq sətirləri real server IP-sini ifşa edə bilər.

Cloudflare, saxta saytların müəyyən edilən IP ünvanına Cloudflare vasitəsilə qoşulmağın mümkün olmayacağı mənasını verir. Ancaq takedown prosesində bu IP məlumatı kritik əhəmiyyət daşıyır:

• Hosting şirkətinə şikayət: Real IP bilindikdə, serverin hansı hosting şirkətinə aid olduğu müəyyən edilə bilər və birbaşa o şirkətə DMCA (Rəqəmsal Minilliyin Müəllif Hüquqları Aktı) və ya sui-istifadə bildirişi göndərilə bilər.
• Cloudflare-a şikayət: Cloudflare, sui-istifadə siyasətini pozan saytların xidmətini dayandıra bilər; real server məlumatı bu prosesdə güclü dəstəkləyici dəlil kimi çıxış edir.
• Prokurorluğa müraciət: IP məlumatı, təşkilatın müəyyən edilməsində ən kritik texniki dəlildir.

Bu yeddi metodu manual olaraq tətbiq etmək texniki bilik tələb edir və vaxt aparır. Araşdırmamızda saxta saytların bəzilərinin real IP-sinə çatmaq saatlar çəkdi.

Cloudflare arxasındakı bir saytın real IP-sini tapmaq qanunidirmi? Bəli. DNS sorğusu, CT log araşdırması və ictimaiyyətə açıq arxivləri araşdırmaq tamamilə qanuni əməliyyatlardır. Bu metodlar yalnız ictimaiyyətə açıq məlumat mənbələrindən istifadə edir; heç bir sistemə icazəsiz giriş daxil deyil. Saxta bir saytla mübarizə aparmaq üçün bu məlumatları toplamaq qanuni və zəruridir.

Shodan hansı məlumatları verir? Shodan, bir IP ünvanındakı açıq portları, işləyən xidmətləri (veb serveri, SSH, FTP), proqram təminatı versiyalarını və xidmət başlıqlarını siyahıya alır. Bu məlumatlar serverin hansı hosting infrastrukturunda işlədiyini anlamağa kömək edir və takedown müraciətlərində texniki sübut olaraq istifadə edilə bilər.

SecurityTrails niyə bu qədər dəyərlidir? SecurityTrails, bir domenin bütün DNS tarixçəsini və o domen üçün qeydə alınmış bütün A qeydlərini göstərir. Saxta bir sayt CDN arxasına keçməzdən əvvəl hansı IP-ni istifadə etdiyini bu xidmət sayəsində öyrənmək mümkündür. IP müəyyən edildikdən sonra eyni infrastrukturda olan digər saxta saytları tapmaq da asanlaşır.

IP müəyyən etmədən takedown tələb edilə bilərmi? Bəli, domen əsaslı takedown tələbləri mümkündür. ICANN siyasətləri və qeydiyyat şirkətləri, domen sahibinin müəyyən edilməsi olmadan da sui-istifadə bildirişini qəbul edir. Ancaq real IP bilindikdə hosting şirkətinə birbaşa müraciət edilə bilər; bu yol daha sürətli nəticə verir.

Otelinizə aid saxta saytların real IP ünvanlarını və yerləşdiyi server infrastrukturunu avtomatik olaraq müəyyən edən pulsuz alətimizi sınayın. İlk tarama dəqiqələr içində nəticə verir.