Как найти реальный IP за Cloudflare? Техническое руководство

При изучении поддельных сайтов бронирования, количество которых в последнее время увеличилось в гостиничном секторе Турции, видно, что подавляющее большинство из них размещаются за Cloudflare CDN (Content Delivery Network). Этот выбор не случаен; Cloudflare скрывает реальный IP-адрес сервера, что серьезно затрудняет процессы удаления (takedown).

Когда мы проанализировали сотни поддельных сайтов отелей, мы обнаружили, что подавляющее большинство из них находятся под защитой Cloudflare. Этот защитный слой не является неразрушимым, но его невозможно обойти без знания правильных методов.

Cloudflare работает как обратный прокси (reverse proxy). Каждый запрос к сайту сначала поступает на серверы Cloudflare, оттуда передается на реальный веб-сервер, и ответ снова возвращается пользователю через Cloudflare.

В этой структуре посетитель видит IP-адрес Cloudflare. Кажется, что реальный IP сервера отключен. Однако «отключен» не означает «полностью скрыт». Реальный IP может просочиться из многих мест, если задавать правильные вопросы. Для подробного анализа поведения поддельных сайтов за Cloudflare загляните в нашу статью cloudflare-arkasindaki-sahte-siteleri-tespit-etme.

Это самая распространенная и легко находимая лазейка. Даже если основной домен находится за Cloudflare, поддомены, используемые для электронной почты, обычно указывают напрямую на IP сервера.

При DNS-запросе для поддоменов вроде "mail.sahteotel.com" или "smtp.sahteotel.com" чаще всего возвращается реальный IP-адрес напрямую. Причина техническая: протокол SMTP (электронная почта) не может быть направлен через прокси Cloudflare.

На одном поддельном сайте, выявленном в ходе наших исследований, в то время как основной домен был под защитой Cloudflare, поддомен "info." указывал напрямую на IP-адрес украинского происхождения. Этот IP обслуживал десятки различных поддельных сайтов отелей.

Большинство поддельных сайтов сначала открываются без Cloudflare, а затем переходят за CDN из-за риска обнаружения. DNS-записи до этого перехода остаются в архивах.

Такие сервисы, как SecurityTrails, ViewDNS и PassiveDNS, хранят информацию о том, на какие IP-адреса указывал домен в прошлом. IP, который поддельный сайт использовал до перехода на Cloudflare, может быть виден в этих архивах.

Эксперты отрасли отмечают, что эти старые записи IP имеют критическое значение для раскрытия серверной инфраструктуры, на которой размещаются поддельные сайты. При обнаружении одного IP-адреса становится возможным перечислить и все остальные поддельные сайты на том же IP.

При получении каждого SSL-сертификата в логи CT записывается не информация об IP того, кто получил сертификат, а доменное имя. Однако некоторые серверы могут получать сертификаты и для своих прямых IP-адресов.

При поиске на основе IP-адреса в инструментах поиска по логам CT, таких как crt.sh, можно увидеть записи сертификатов для всех доменов, размещенных на этом IP. Этот метод чрезвычайно эффективен для поиска других поддельных сайтов в той же инфраструктуре после обнаружения одного IP.

В реальном случае: после обнаружения IP-адреса поддельного сайта отеля методом поддомена, в поиске, который мы провели в логах CT для того же IP, мы обнаружили 27 различных поддельных доменов. Все они были на одной и той же инфраструктуре. Вы можете найти больше информации о логике работы логов CT в нашей статье sahte-ssl-sertifika-tespiti-rehberi.

Shodan — это поисковая система, индексирующая устройства и серверы, подключенные к интернету. Поиск IP-адреса в Shodan может выявить версии программного обеспечения, работающего на этом сервере, открытые порты и заголовки сервисов (HTTP header).

Эта информация может быть использована и как прямое доказательство, и для лучшего понимания серверной инфраструктуры. В части проанализированных нами поддельных сайтов с помощью информации заголовков HTTP, полученной при сканировании Shodan, удалось установить зарегистрированную хостинг-компанию поддельных сайтов.

Неправильно настроенные веб-серверы могут распространять подробную информацию о сервере в таких конечных точках (endpoints), как "/server-status" или "/server-info". На серверах с этой уязвимостью могут быть перечислены все имена виртуальных хостов (virtual host), использующих этот сервер.

Информация, полученная в результате такой уязвимости, полностью отключает защиту Cloudflare. Потому что по собственному сообщению сервера все домены и связь с IP выходят на свет. Мы столкнулись именно с такой уязвимостью на одном из проанализированных нами поддельных сайтов; сервер содержал 31 различный поддельный домен и сам выдавал информацию о них всех.

Wayback Machine (archive.org) и кеш Google хранят старые версии сайтов. Информация о сервере, на котором размещался поддельный сайт до перехода на Cloudflare, может быть видна в этих архивах. IP-адреса, прописанные в старом исходном коде HTML сайта, или старые ссылки на CDN могут быть ценными для обнаружения.

Кроме того, некоторые поддельные сайты предоставляют изображения и медиафайлы напрямую через оригинальный сервер. При изучении URL-адресов изображений в исходном коде страницы можно увидеть файлы, которые не проходят через Cloudflare и предоставляются напрямую с IP-адресом.

Операторы поддельных сайтов в некоторых случаях отправляют электронные письма жертвам: поддельное подтверждение бронирования, уведомление о кампании или ответ службы поддержки. Эти письма несут ценную техническую информацию.

При изучении заголовка (header) полученного письма IP-адреса серверов, через которые прошло письмо, видны в строках «Received:». Если оператор поддельного сайта держит почтовую инфраструктуру независимой от Cloudflare, эти строки заголовка могут раскрыть реальный IP-адрес сервера.

Тот факт, что сайт находится за Cloudflare, означает, что соединение с обнаруженным IP-адресом не может быть установлено через Cloudflare. Однако эта информация об IP имеет критическое значение в процессе удаления (takedown):

• Жалоба хостинг-компании: Когда известен реальный IP, можно определить, какой хостинг-компании принадлежит сервер, и напрямую отправить этой компании уведомление DMCA (Закон о защите авторских прав в цифровую эпоху) или жалобу на злоупотребление.
• Жалоба в Cloudflare: Cloudflare может прекратить обслуживание сайтов, нарушающих политику злоупотреблений; информация о реальном сервере в этом процессе служит сильным вспомогательным доказательством.
• Обращение в прокуратуру: Информация об IP является самым критическим техническим доказательством при установлении организации.

Применение этих семи методов вручную требует технических знаний и времени. В ходе нашего исследования на получение реального IP некоторых поддельных сайтов ушли часы.

Законно ли находить реальный IP сайта за Cloudflare? Да. Запрос DNS, исследование логов CT и изучение общедоступных архивов — это полностью законные операции. Эти методы используют только общедоступные источники данных; они не включают несанкционированный доступ к какой-либо системе. Сбор этой информации необходим и легитимен для борьбы с поддельным сайтом.

Какую информацию дает Shodan? Shodan перечисляет открытые порты на IP-адресе, работающие сервисы (веб-сервер, SSH, FTP), версии программного обеспечения и заголовки сервисов. Эта информация помогает понять, на какой инфраструктуре хостинга работает сервер, и может быть использована в качестве технического доказательства в заявках на удаление.

Почему SecurityTrails так ценен? SecurityTrails показывает всю историю DNS домена и все записи A, зарегистрированные для этого домена. С помощью этого сервиса можно узнать, какой IP использовал поддельный сайт до перехода за CDN. После обнаружения IP становится легче найти и другие поддельные сайты на той же инфраструктуре.

Можно ли требовать удаления (takedown) без обнаружения IP? Да, требования об удалении на основе домена возможны. Политики ICANN и фирмы-регистраторы принимают уведомления о злоупотреблениях и без идентификации владельца домена. Однако при знании реального IP можно обратиться напрямую к хостинг-компании; этот путь дает результаты гораздо быстрее.

Попробуйте наш бесплатный инструмент, который автоматически обнаруживает реальные IP-адреса и серверную инфраструктуру, на которой размещаются поддельные сайты вашего отеля. Первое сканирование даст результат в течение нескольких минут.