Как да откриете истинския IP адрес зад Cloudflare? Техническо ръководство

Когато се изследват фалшивите сайтове за резервации, които се увеличиха напоследък в турския хотелски сектор, се вижда, че огромната част от тях са хоствани зад Cloudflare CDN (Мрежа за доставка на съдържание). Този избор не е случаен; тъй като Cloudflare крие истинския IP адрес на сървъра, той значително затруднява процесите на takedown (сваляне на съдържание).

Когато анализирахме стотици фалшиви хотелски сайтове, установихме, че по-голямата част от тях са под защитата на Cloudflare. Този защитен слой не е неразрушим — но не е възможно да бъде преодолян без познаване на правилните методи.

Cloudflare работи като обратно прокси (reverse proxy). Всяка заявка към сайта първо достига до сървърите на Cloudflare, оттам се предава на истинския уеб сървър и отговорът се връща на потребителя отново чрез Cloudflare.

В тази структура посетителят вижда IP адреса на Cloudflare. Истинският IP на сървъра изглежда деактивиран. „Деактивиран“ обаче не означава „напълно скрит“. Когато се задават правилните въпроси, истинският IP може да изтече от много места. За подробен анализ на поведението на фалшивите сайтове зад Cloudflare вижте нашата статия cloudflare-arkasindaki-sahte-siteleri-tespit-etme.

Това е най-често срещаната и най-лесно откриваема уязвимост. Дори ако основният домейн е зад Cloudflare, поддомейните, използвани за имейл, обикновено сочат директно към IP адреса на сървъра.

Когато се направи DNS запитване за поддомейни като „mail.sahteotel.com“ или „smtp.sahteotel.com“, в повечето случаи истинският IP адрес се връща директно. Причината за това е техническа: SMTP (имейл) протоколът не може да бъде насочен през проксито на Cloudflare.

В един фалшив сайт, който открихме в нашите проучвания, докато основният домейн беше под защитата на Cloudflare, поддомейнът „info.“ сочеше директно към IP адрес с произход от Украйна. Този IP хостваше десетки различни фалшиви хотелски сайтове.

Повечето фалшиви сайтове първоначално се отварят без Cloudflare, след което преминават зад CDN срещу риск от откриване. DNS записите преди този преход обаче остават в архивите.

Услуги като SecurityTrails, ViewDNS и PassiveDNS съхраняват към кои IP адреси е сочил един домейн в миналото. IP адресът, използван от фалшив сайт преди преминаването към Cloudflare, може да се вижда в тези архиви.

Експертите в индустрията посочват, че тези стари IP записи са от критично значение за разкриването на сървърната инфраструктура, където се хостват фалшивите сайтове. След като се намери един IP адрес, става възможно да се изброят и всички останали фалшиви сайтове на същия IP.

При всяко получаване на SSL сертификат информацията за IP адреса на лицето, получило сертификата, не се записва, но името на домейна се записва в CT логовете. Някои сървъри обаче могат да получат сертификати и за собствените си директни IP адреси.

Когато се извършва търсене въз основа на IP адрес в инструменти за търсене на CT логове като crt.sh, могат да се видят записите на сертификати, принадлежащи на всички домейни, хоствани на този IP. Този метод е изключително ефективен за намиране на други фалшиви сайтове в същата инфраструктура, след като бъде открит един IP.

В реален случай: след като намерихме IP адреса на фалшив хотелски сайт чрез метода на поддомейни, при търсенето, което направихме за същия IP в CT логовете, открихме още 27 различни фалшиви домейна. Всички те бяха в една и съща инфраструктура. За повече информация относно логиката на работа на CT логовете вижте нашата статия sahte-ssl-sertifika-tespiti-rehberi.

Shodan е търсачка, която индексира устройства и сървъри, свързани с интернет. Търсенето на IP адрес в Shodan може да разкрие версиите на софтуера, работещ на този сървър, отворените портове и сервизните заглавия (HTTP header).

Тази информация може да се използва както като пряко доказателство, така и за по-добро разбиране на сървърната инфраструктура. В част от фалшивите сайтове, които анализирахме, стана възможно идентифицирането на хостинг компанията, при която са регистрирани фалшивите сайтове, чрез информацията за HTTP заглавията, получена от сканирането в Shodan.

Погрешно конфигурираните уеб сървъри могат да разпространяват подробна сървърна информация в крайни точки (endpoints) като „/server-status“ или „/server-info“. В тези отворени сървъри могат да бъдат изброени имената на всички виртуални хостове (virtual hosts), използващи този сървър.

Информацията, получена от такъв пропуск, напълно деактивира защитата на Cloudflare. Тъй като чрез собственото изявление на сървъра наяве излизат всички домейни и връзката с IP адреса. Точно с такъв пропуск се сблъскахме в един от фалшивите сайтове, които анализирахме; сървърът хостваше 31 различни фалшиви домейна и сам предоставяше информация за всички тях.

Wayback Machine (archive.org) и кешът на Google съхраняват старите версии на сайтовете. Информацията за сървъра, на който е бил хостван фалшив сайт преди преминаването към Cloudflare, може да се вижда в тези архиви. IP адресите, фиксирани в стария HTML изходен код на сайта, или старите CDN препратки могат да бъдат ценни за откриване.

Освен това някои фалшиви сайтове предоставят визуални и медийни файлове директно чрез оригиналния сървър. Когато изследвате URL адресите на изображенията в изходния код на страницата, е възможно да видите, че файловете, които не преминават през Cloudflare, се предоставят директно с IP адреса.

Операторите на фалшиви сайтове в някои случаи изпращат имейли на жертвите: фалшиво потвърждение на резервация, известие за кампания или отговор от отдела за обслужване на клиенти. Тези имейли носят ценна техническа информация.

Когато изследвате заглавната част (header) на входящия имейл, IP адресите на сървърите, през които е преминал имейлът, се виждат в редовете „Received:“. Ако операторът на фалшивия сайт държи имейл инфраструктурата си независима от Cloudflare, тези редове в заглавната част могат да разкрият истинския IP на сървъра.

Cloudflare означава, че не може да се установи връзка с открития IP адрес на фалшивите сайтове чрез Cloudflare. IP информацията обаче е от критично значение в процеса на takedown:

• Жалба до хостинг компанията: Когато истинският IP е известен, може да се установи към коя хостинг компания принадлежи сървърът и директно до тази компания може да се изпрати известие за DMCA (Закон за авторското право в цифровото хилядолетие) или за злоупотреба
• Жалба до Cloudflare: Cloudflare може да прекъсне услугата на сайтове, които нарушават политиката му за злоупотреба; истинската информация за сървъра е силно подкрепящо доказателство в този процес
• Кандидатстване в прокуратурата: IP информацията е най-критичното техническо доказателство при идентифициране на организацията

Прилагането на тези седем метода ръчно изисква технически познания и отнема време. В нашето проучване достигането до истинския IP на някои от фалшивите сайтове отне часове.

Законно ли е да се намери истинският IP адрес на сайт зад Cloudflare? Да. DNS запитването, проучването на CT логовете и изследването на публично достъпните архиви са напълно законни операции. Тези методи използват само публични източници на данни; те не включват неоторизиран достъп до която и да е система. Събирането на тази информация за борба с фалшив сайт е легитимно и необходимо.

Каква информация дава Shodan? Shodan изброява отворените портове на даден IP адрес, работещите услуги (уеб сървър, SSH, FTP), версиите на софтуера и сервизните заглавия. Тази информация помага да се разбере в коя хостинг инфраструктура работи сървърът и може да се използва като техническо доказателство в заявления за takedown.

Защо SecurityTrails е толкова ценен? SecurityTrails показва цялата DNS история на един домейн и всички A записи, регистрирани за този домейн. Благодарение на тази услуга е възможно да се разбере какъв IP е използвал фалшив сайт преди преминаването към CDN. След като се открие IP, става по-лесно да се намерят и други фалшиви сайтове в същата инфраструктура.

Може ли да се изиска takedown без откриване на IP? Да, възможни са заявки за takedown на база домейн. Политиките на ICANN и фирмите регистратори приемат доклади за злоупотреба и без идентифициране на собственика на домейна. Когато истинският IP е известен обаче, може да се подаде молба директно до хостинг компанията; този път дава много по-бързи резултати.

Изпробвайте нашия безплатен инструмент, който автоматично открива истинските IP адреси на фалшиви сайтове, принадлежащи на вашия хотел, и сървърната инфраструктура, в която се хостват. Първото сканиране дава резултати за минути.