關于IP地址隱藏的專題分析

周海龍 周穎 馮雪山

摘要：論文主要分析IP地址隱藏在真實場景及虛擬化場景下的作用。IP地址隱藏面臨風險主要為：存在監管風險、存在管理風險、存在安全風險、安全風險監控難度加大。IP地址隱藏可分類為CDN加速導致IP隱藏、安全防護導致IP地址隱藏、IP負載均衡導致IP地址隱藏、智能DNS導致IP地址隱藏、NAT網絡地址轉換導致IP地址隱藏等。針對以上IP地址隱藏場景部分可采用附件一中的方法進行真實IP地址的查找，但其適用場景有限，只適用于10%-20%的互聯網站。為進一步提高互聯網站可配合相關非技術手段進行互聯網站管理，以下是針對本文中IP隱藏場景可采用的非技術手段進行闡述。

關鍵詞：CDN加速導致IP地址隱藏；安全防護導致IP地址隱藏；智能DNS導致IP地址隱藏；NAT網絡地址轉化導致IP地址隱藏

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2019）11-0073-03

為切實加強互聯網站管理工作，規范、細化互聯網行業管理流程，促進我國互聯網全面、協調、可持續發展，信息化產業部制定了《互聯網站管理工作細則》，要求互聯網IP地址、互聯網絡域名等網站管理基礎信息數據庫的完整、準確。但隨著新技術應用和發展，導致網站真實IP地址被隱藏，這給通信管理局進行ICP、IP地址信息備案管理、違法違規網站的查處、互聯網接入服務市場的監管、網站年度審核等工作帶來了嚴重的挑戰，本專題通過對互聯網IP地址隱藏情況進行分析，研究各場景真實IP地址查找方法，并對結合管理手段對互聯網網站進行管理。

1 真實IP地址隱藏場景

1.1 CDN加速導致IP隱藏

CDN服務：內容分布網絡——content distribution network（cdn）是構筑在現有的internet上的一種先進的流量分配網絡。該網絡將網站源服務器中的內容存儲到分布于各地的應用節點服務器中，通過網絡的動態流量分配控制器，將用戶請求自動指向到健康可用并且距離用戶最近的應用節點服務器上，以提高用戶訪問的響應速度和服務的可用性，以下是CDN技術訪問原理：

由此，當用戶訪問節點服務器的時候，訪問的IP地址也就是節點服務器的IP地址，并非WEB服務器真實。

1.2 安全防護導致IP隱藏

1.2.1 云安全防護導致IP隱藏

市面上提供云防護產品的廠家很多，常見的有安恒的玄武盾、知道創宇、上海云盾等，這些廠家基本都是將用戶的域名解析指向到自己的云防護節點上或者干脆直接采用廠家的DNS解析服務，通過自己的高防云服務器來為用戶提供安全防護，云防護節點則部署在各地CDN節點上。這樣對于普通用戶來說，訪問的是廠家云防護節點，無法獲取網站的真實IP地址。

1.2.2 本地安全防護導致IP隱藏

本地安全防護常見部署模式包括：透明代理、反向代理、路由代理，其中反向代理模式反向代理模式是指將真實服務器的地址映射到反向代理服務器上。此時代理服務器對外就表現為一個真實服務器。由于客戶端訪問的就是安全防護設備。

1.3 IP負載均衡導致IP隱藏

IP負載均衡將可以將多個WEB應用請求分攤到多個WEB服務器上，從而提高并發處理能力，但用戶訪問的地址為其實IP負載均衡設備虛擬地址，從而實現了真實IP地址的隱藏。

1.4 智能DNS導致IP隱藏

智能DNS就是根據用戶的來路，自動智能化判斷來路IP返回給用戶，而不需要用戶進行選擇。如下圖所示，比方一個企業的站點三個運營商的帶寬都有：電信、網通、移動，同樣有三個來自不同運營商網絡的訪問用戶，那電信訪問企業網址的時候，智能DNS會自動根據IP判斷，再從電信返回給電信用戶；其他的也同理。

1.5 NAT網絡地址轉換導致IP隱藏

網絡地址轉換（NAT，Network Address Translation）是一種將一組 IP地址映射到另一組 IP，對于普通用戶來說是透明的，用戶訪問的是轉換以后的地址，從而實現了真實地址隱藏。此技術一般用于內網地址轉換。

2 帶來安全挑戰

由于以上技術的應用導致了互聯網站真實IP地址被隱藏，為現有工作帶來了嚴重的挑戰：

1）存在監管風險

難以溯源、封堵，增加了對違法違規網站封堵的難度。

2）管理風險

加大了對網站備案管理難度，難以區分哪些IP地址上的網站未進行備案。

3）安全風險

（1）CDN自身存在安全漏洞，增加網站被篡改風險；

（2）由于域名解析指向的是防護節點、或CDN，導致用戶數據在CDN或防護設備上被獲取。

4）安全風險監控難度加大

由于網站接入IP與域名解析地址對應關系更加復雜，導致DNS篡改、DNS投毒等安全事件難度加大。

3 安全建議

針對以上IP地址隱藏場景部分可采用附件一中的方法進行真實IP地址的查找，但其適用場景有限，只適用于10%-20%的互聯網站。為進一步提高互聯網站可配合相關非技術手段進行互聯網站管理，以下是針對本文中IP隱藏場景可采用的非技術手段進行闡述：

1） CDN加速、云防護隱藏IP地址場景，可要求CDN加速及云防護提供商提供網站加速及防護日志，日志內容包括域名、防護或加速節點IP、互聯網站接入IP等信息。

2） 對于使用本地安全防護導致解析地址與接入地址不一致時，可采用備案方式將域名與真實IP、防護地址進行備案。

3） 對于使用智能DNS的企業，需提供智能DNS解析記錄日志，日志包括解析域名、IP地址、原地址等。

4） 對于使用NAT網絡地址轉換的企業導致解析地址與接入地址不一致的，需要留存并提供NAT地址轉換記錄，記錄包括域名、IP地址、NAT轉化后地址等。

5） 針對政府機構自行建設的云防護平臺，采用“誰運營誰負責”原則，由建設單位對互聯網IP地址及域名進行管理。

6） 總結

通過隨機抽取了近600進行分析，發現15%使用的是阿里云服務器，3%的網站使用了CDN加速技術，7%的網站采用了web應用防火墻，5%的網站使用云防護技術，14%的網站使用負載均衡技術，由于以上技術使用，均可能導致備案IP與接入地址不符。

4 應用技術

CDN加速、云安全防護、本地安全防護、IP負載均衡、智能DNS、NAT網絡地址轉化；

4.1 商業、業務應用場景

1） CDN適用于站點加速、點播、直播等場景，將源站內容分發至最接近用戶的節點，使用戶可就近取得所需內容，該技術常用于向多地用戶提供的WEB應用服務的企業或單位。

2） 云安全防護采用云服務模式，在各地部署防護節點，可快速部署網站安全，提供統一的網站安全防護，該技術能夠為企業或單位提供快捷網站的接入，而且成本較低。

3） 本地安全防護是指傳統的web應用防火墻提供的安全防護，可幫助企業提供WEB應用常用攻擊，應用場景大，產品比較成熟，現有企業使用較多。

4） 負載均衡應用于WEB訪問量大，需要多臺服務器共同承擔訪問壓力場景，適用于企業單位網站用戶多，對實時響應要求較高的企業。

5） 智能DNS能自動判斷訪問者的IP地址并解析出對應的IP地址，使網通用戶會訪問到網通服務器，電信用戶會訪問到電信服務器。適用于有多條網絡鏈路同時提供服務的企業，啟動鏈路優化的作用。

6） NAT網絡地址轉化技術一般用于內網地址轉換，將內網地址轉換為外網地址，為公眾提供網絡服務。

4.2 隱藏真實Ip的風險

1） CDN加速增加違規網站封堵的難度、加大了站備案管理難度、增加網站被篡改風險、增加了用戶數據泄露風險、增加了安全事件監控難度。

2） 云安全防護增加違規網站封堵的難度、加大了站備案管理難度、增加了用戶數據泄露風險、增加了安全事件監控難度。

3） 本地安全防護增加了安全事件監控難度、加大了站備案管理難度。

4） 負載均衡增加了安全事件監控難度、加大了站備案管理難度、增加違規網站封堵的難度。

5） 智能DNS增加了安全事件監控難度、加大了站備案管理難度、增加違規網站封堵的難度。

6） NAT網絡地址轉化增加了安全事件監控難度、加大了站備案管理難度。

4.3 管理上的建議

1） CDN加速：要求CDN加速及云防護提供商提供網站加速及防護日志，日志內容包括域名、防護或加速節點IP、互聯網站接入IP等信息；

2） 云安全防護：CDN加速、云防護隱藏IP地址場景，可要求CDN加速及云防護提供商提供網站加速及防護日志，日志內容包括域名、防護或加速節點IP、互聯網站接入IP等信息；

3） 本地安全防護：對于使用本地安全防護導致解析地址與接入地址不一致時，可采用備案方式將域名與真實IP、防護地址進行備案；

4） 負載均衡：提供IP負載多臺服務器IP地址；

5） 智能DNS：于使用智能DNS的企業，需提供智能DNS解析記錄日志，日志包括解析域名、IP地址、原地址等；

6） NAT網絡地址轉化：于使用NAT網絡地址轉換的企業導致解析地址與接入地址不一致的，需要留存并提供NAT地址轉換記錄，記錄包括域名、IP地址、NAT轉化后地址等。

附件一：技術手段IP地址查找方法

以下是針對各個IP隱藏場景所采用的技術手段：

IP地址隱藏場景：CDN加速、云安全防護、本地安全防護、IP負載均衡、智能DNS、NAT網絡地址轉化。

技術識別手段：頂級域名解析法、二級域名解析法、域名歷史解析記錄、利用國外主機來PING、郵件服務、頂級域名解析法、二級域名解析法、域名歷史解析記錄、郵件服務、查找探針方法、F5 LTM解碼法。

適用場景：頂級域名未做加速、未所有的二級域名放cdn上、未做國外的CDN、服務器本地自帶sendmail、頂級域名未做加速、未所有的二級域名防護、服務器本地自帶sendmail、在服務上具有類似于phpinfo類探針、F5設備做的負載均衡。

4.3.1 針對CDN場景IP地址查找

在CDN做得比較，或者整個站都用CDN加速了，幾乎找不到他的源站的真實IP的，因為對于公眾用戶來說真實IP被CDN給屏蔽了，是個黑盒子。下面，我們從一些特別的角度去繞過CDN找源站IP。

4.3.1.1 頂級域名解析

因為了解到現有很多CDN廠商基本只要求把www.xxx.com cname到cdn主服務器上去，而且有人為了維護網站時更方便，不用等cdn緩存，只讓WWW域名使用cdn，頂級域名不使用。所以試著把目標網站的www去掉，ping一下頂級域名，看ip是否為真實地址。

4.3.1.2 二級域名法

目標站點一般不會把所有的二級域名放cdn上，比如試驗性質地二級域名。baidu site一下目標的域名，看有沒有二級域名出現，挨個排查，確定了沒使用cdn的二級域名后，本地將目標域名綁定到同ip，能訪問就說明目標站與此二級域名在同一個服務器上。

不在同一服務器也可能在同C段，掃描C段所有開80端口的ip，挨個試。

如果google搜不到也不代表沒有，我們拿常見的二級域名構造一個字典，猜出它的二級域名。比如mail、cache、img。

4.3.1.3 查找域名歷史解析記錄

指的是查找域名歷史解析記錄，因為域名在上CDN之前用的IP，很有可能就是CDN的真實源IP地址。

有個專門的網站提供域名解析歷史記錄查詢：

http：//toolbar.netcraft.com/site_report？url=www.xxx.com

4.3.1.4 用國外主機來ping

大部分CDN提供商只針對國內市場，而對國外市場幾乎是不做CDN，所以有很大的概率會直接解析到真實IP。用國外的多節點ping工具，例如just-ping，全世界幾十個節點ping目標域名，很有可能找到真實ip。

域名：http：//www.just-ping.com/

4.3.1.5 郵件服務

有的服務器本地自帶sendmail… 注冊之后，會主動發一封郵件給我們。。。 好吧。打開郵件的源代碼，就能看到服務器的真實Ip了。有的大型互聯網網站會有自己的Mailserver…應該也是處在一個網段的， 那個網段打開80的一個一個進行測試。

4.3.2 針對云防護場景IP地址查找

云安全防護IP隱藏的原理與CDN加速隱藏IP地址原理一致，可利用1.1.2章節的辦法進行真實IP地址查找。

4.3.3 針對本地防護場景IP地址查找

針對此類IP地址隱藏情況，查找真實IP地址比較困難，可利用查找phpinfo（）之類的探針方法獲取服務器真實IP地址。

4.3.4 針對負載均衡場景IP地址查找

針對此類IP地址隱藏情況，可利用負載均衡的屬性獲取真實IP地址。如F5可通過解析BIGipServerpool獲取獲取真實IP地址。F5 LTM解碼法即當服務器使用F5 LTM做負載均衡時，通過對set-cookie關鍵字的解碼真實ip也可被獲取，例如：Set-Cookie： BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小節的十進制數即487098378取出來，然后將其轉為十六進制數1d08880a，接著從后至前，以此取四位數出來，也就是0a.88.08.1d，最后依次把他們轉為十進制數10.136.8.29，也就是最后的真實ip。

【通聯編輯：李雅琪】