چگونه IP واقعی پشت Cloudflare را پیدا کنیم؟ راهنمای فنی

هنگام بررسی سایت‌های رزرو جعلی که اخیراً در بخش هتلداری ترکیه افزایش یافته‌اند، مشاهده می‌شود که اکثریت قریب به اتفاق پشت شبکه تحویل محتوا (CDN) شرکت Cloudflare میزبانی می‌شوند. این انتخاب تصادفی نیست؛ Cloudflare آدرس IP واقعی سرور را پنهان می‌کند و فرآیندهای حذف (takedown) را به طور قابل توجهی دشوارتر می‌سازد.

وقتی صدها سایت جعلی هتل را تجزیه و تحلیل کردیم، متوجه شدیم که اکثریت قریب به اتفاق تحت حفاظت Cloudflare هستند. این لایه حفاظتی غیرقابل شکست نیست - با این حال، دور زدن آن بدون دانستن روش‌های صحیح امکان‌پذیر نیست.

Cloudflare به عنوان یک پروکسی معکوس (reverse proxy) عمل می‌کند. هر درخواستی که به سایت ارسال می‌شود ابتدا به سرورهای Cloudflare می‌رسد، از آنجا به وب‌سرور واقعی هدایت می‌شود و پاسخ دوباره از طریق Cloudflare به کاربر بازمی‌گردد.

در این ساختار، بازدیدکننده آدرس IP شرکت Cloudflare را می‌بیند. آدرس IP واقعی سرور غیرفعال به نظر می‌رسد. با این حال، "غیرفعال" به معنای "کاملاً پنهان" نیست. وقتی سوالات درست پرسیده شود، IP واقعی می‌تواند از بسیاری از جاها نشت کند. برای تجزیه و تحلیل دقیق رفتارهای سایت‌های جعلی پشت Cloudflare، می‌توانید مقاله cloudflare-arkasindaki-sahte-siteleri-tespit-etme ما را ببینید.

این رایج‌ترین و ساده‌ترین آسیب‌پذیری برای یافتن است. حتی اگر دامنه اصلی پشت Cloudflare باشد، زیردامنه‌های مورد استفاده برای ایمیل معمولاً مستقیماً به IP سرور اشاره می‌کنند.

وقتی یک کوئری DNS برای زیردامنه‌هایی مانند "mail.fakehotel.com" یا "smtp.fakehotel.com" انجام می‌شود، در بیشتر موارد، آدرس IP واقعی مستقیماً برگردانده می‌شود. دلیل آن فنی است: پروتکل SMTP (ایمیل) نمی‌تواند از طریق پروکسی Cloudflare هدایت شود.

در یک سایت جعلی که در تحقیقات خود شناسایی کردیم، در حالی که دامنه اصلی تحت حفاظت Cloudflare بود، زیردامنه ".info" مستقیماً به یک آدرس IP با منبع اوکراین اشاره می‌کرد. این IP میزبان ده‌ها سایت جعلی مختلف هتل بود.

بسیاری از سایت‌های جعلی در ابتدا بدون Cloudflare باز می‌شوند، سپس در برابر خطر شناسایی، پشت CDN سوئیچ می‌کنند. رکوردهای DNS قبل از انتقال در آرشیوها باقی می‌مانند.

سرویس‌هایی مانند SecurityTrails، ViewDNS و PassiveDNS ذخیره می‌کنند که یک دامنه در گذشته به کدام آدرس‌های IP اشاره می‌کرده است. IP استفاده شده توسط یک سایت جعلی قبل از سوئیچ به Cloudflare ممکن است در این آرشیوها قابل مشاهده باشد.

کارشناسان صنعت معتقدند این رکوردهای قدیمی IP در آشکارسازی زیرساخت سروری که سایت‌های جعلی در آن میزبانی می‌شوند، از اهمیت حیاتی برخوردارند. هنگامی که یک IP پیدا شد، لیست کردن تمام سایت‌های جعلی دیگر روی همان IP نیز امکان‌پذیر می‌شود.

هنگامی که هر گواهینامه SSL دریافت می‌شود، اطلاعات IP ثبت‌کننده در گزارش‌های CT ثبت نمی‌شود، اما نام دامنه ثبت می‌شود. با این حال، برخی از سرورها می‌توانند برای آدرس‌های IP مستقیم خود نیز گواهینامه دریافت کنند.

هنگامی که جستجوی مبتنی بر آدرس IP در ابزارهای جستجوی گزارش CT مانند crt.sh انجام می‌شود، رکوردهای گواهینامه متعلق به تمام دامنه‌های میزبانی شده روی آن IP قابل مشاهده است. این روش برای یافتن سایر سایت‌های جعلی روی همان زیرساخت پس از شناسایی یک IP بسیار موثر است. برای اطلاعات بیشتر در مورد منطق کاری گزارش‌های CT، می‌توانید مقاله sahte-ssl-sertifika-tespiti-rehberi ما را بررسی کنید.

Shodan یک موتور جستجو است که دستگاه‌ها و سرورهای متصل به اینترنت را ایندکس می‌کند. جستجوی یک آدرس IP در Shodan می‌تواند نسخه‌های نرم‌افزاری در حال اجرا روی آن سرور، پورت‌های باز و هدرهای سرویس (HTTP header) را آشکار کند.

این اطلاعات هم می‌تواند به عنوان مدرک مستقیم استفاده شود و هم به درک بهتر زیرساخت سرور کمک می‌کند. در بخشی از سایت‌های جعلی که تحلیل کردیم، شناسایی شرکت میزبانی ثبت شده سایت‌های جعلی با اطلاعات هدر HTTP به دست آمده از اسکن‌های Shodan امکان‌پذیر بود.

وب‌سرورهایی که اشتباه پیکربندی شده‌اند می‌توانند اطلاعات دقیق سرور را در نقاط پایانی مانند "/server-status" یا "/server-info" پخش کنند. در سرورهایی که این بخش باز است، تمام نام‌های میزبان مجازی که از آن سرور استفاده می‌کنند، قابل لیست شدن هستند.

اطلاعات به دست آمده از چنین آسیب‌پذیری، محافظت Cloudflare را کاملاً غیرفعال می‌کند. زیرا با گزارش خود سرور، تمام روابط بین دامنه‌ها و IPها آشکار می‌شود. ما دقیقاً با این آسیب‌پذیری در یکی از سایت‌های جعلی که تحلیل کردیم برخورد کردیم؛ سرور میزبان ۳۱ دامنه جعلی مختلف بود و اطلاعات همه آن‌ها را خودش ارائه می‌داد.

Wayback Machine (archive.org) و کش گوگل نسخه‌های قدیمی سایت‌ها را ذخیره می‌کنند. اطلاعات مربوط به سروری که یک سایت جعلی قبل از سوئیچ به Cloudflare در آن میزبانی شده بود، ممکن است در این آرشیوها ظاهر شود. آدرس‌های IP که به صورت ایستا در کد منبع HTML قدیمی سایت نوشته شده‌اند یا مراجع قدیمی CDN می‌توانند برای شناسایی ارزشمند باشند.

علاوه بر این، برخی از سایت‌های جعلی تصاویر و فایل‌های رسانه‌ای را مستقیماً از طریق سرور اصلی ارائه می‌دهند. وقتی URLهای تصاویر را در کد منبع صفحه بررسی می‌کنید، ممکن است ببینید فایل‌هایی که از Cloudflare عبور نمی‌کنند با آدرس‌های IP مستقیم ارائه می‌شوند.

اپراتورهای سایت‌های جعلی در برخی موارد برای قربانیان خود ایمیل ارسال می‌کنند: تاییدیه رزرو جعلی، اعلان‌های کمپین یا پاسخ‌های خدمات مشتری. این ایمیل‌ها حاوی اطلاعات فنی ارزشمندی هستند.

وقتی هدر ایمیل دریافتی را بررسی می‌کنید، آدرس‌های IP سرورهایی که ایمیل از آن‌ها عبور کرده در خطوط "Received:" ظاهر می‌شوند. اگر اپراتور سایت جعلی زیرساخت ایمیل را مستقل از Cloudflare نگه دارد، این خطوط هدر می‌توانند IP واقعی سرور را فاش کنند.

Cloudflare به این معنی است که نمی‌توان مستقیماً با آدرس IP شناسایی شده سایت‌های جعلی ارتباط برقرار کرد. با این حال، این اطلاعات IP در فرآیند حذف از اهمیت حیاتی برخوردار است:

• شکایت به شرکت میزبانی: وقتی IP واقعی مشخص باشد، می‌توان تعیین کرد که سرور متعلق به کدام شرکت میزبانی است و یک اخطاریه DMCA یا سوءاستفاده (abuse) را مستقیماً به آن شرکت ارسال کرد.
• شکایت به Cloudflare: Cloudflare می‌تواند خدمات سایت‌هایی را که خط‌مشی سوءاستفاده آن را نقض می‌کنند، قطع کند؛ اطلاعات واقعی سرور به عنوان مدرک پشتیبان قوی در این فرآیند عمل می‌کند.
• درخواست قضایی: اطلاعات IP مهم‌ترین مدرک فنی در شناسایی سازمانی است.

استفاده از این هفت روش به صورت دستی نیازمند دانش فنی است و زمان می‌برد. در تحقیقات ما، ساعت‌ها طول کشید تا به IP واقعی برخی از سایت‌های جعلی برسیم.

آیا یافتن IP واقعی یک سایت پشت Cloudflare قانونی است؟ بله. کوئری DNS، تحقیق در گزارش‌های CT و بررسی آرشیوهای عمومی عملیاتی کاملاً قانونی هستند. این روش‌ها فقط از منابع داده عمومی استفاده می‌کنند و شامل دسترسی غیرمجاز به هیچ سیستمی نمی‌شوند. برای مبارزه با یک سایت جعلی، جمع‌آوری این اطلاعات مشروع و ضروری است.

Shodan چه اطلاعاتی می‌دهد؟ Shodan پورت‌های باز، خدمات در حال اجرا (وب‌سرور، SSH، FTP)، نسخه‌های نرم‌افزاری و هدرهای سرویس را روی یک آدرس IP لیست می‌کند. این اطلاعات به درک زیرساخت میزبانی سرور کمک می‌کند و می‌تواند به عنوان مدرک فنی در درخواست‌های حذف استفاده شود.

چرا SecurityTrails اینقدر ارزشمند است؟ SecurityTrails کل تاریخچه DNS یک دامنه و تمام رکوردهای A ثبت شده برای آن دامنه را نشان می‌دهد. از طریق این سرویس امکان‌پذیر است که بفهمید یک سایت جعلی قبل از سوئیچ به پشت CDN از کدام IP استفاده کرده است. پس از شناسایی IP، یافتن سایر سایت‌های جعلی روی همان زیرساخت نیز آسان‌تر می‌شود.

آیا می‌توان بدون شناسایی IP درخواست حذف داد؟ بله، درخواست‌های حذف مبتنی بر دامنه امکان‌پذیر است. سیاست‌های ICANN و شرکت‌های ثبت‌کننده، اعلان‌های سوءاستفاده را بدون شناسایی مالک دامنه می‌پذیرند. با این حال، وقتی IP واقعی مشخص باشد، می‌توان مستقیماً به شرکت میزبانی مراجعه کرد؛ این مسیر نتایج بسیار سریع‌تری می‌دهد.

ابزار رایگان ما را که به طور خودکار آدرس‌های IP واقعی و زیرساخت سرور میزبانی سایت‌های جعلی متعلق به هتل شما را شناسایی می‌کند، امتحان کنید. اولین اسکن در عرض چند دقیقه نتیجه می‌دهد.