周海龙 周颖 冯雪山

摘要：论文主要分析IP地址隐藏在真实场景及虚拟化场景下的作用。IP地址隐藏面临风险主要为：存在监管风险、存在管理风险、存在安全风险、安全风险监控难度加大。IP地址隐藏可分类为CDN加速导致IP隐藏、安全防护导致IP地址隐藏、IP负载均衡导致IP地址隐藏、智能DNS导致IP地址隐藏、NAT网络地址转换导致IP地址隐藏等。针对以上IP地址隐藏场景部分可采用附件一中的方法进行真实IP地址的查找，但其适用场景有限，只适用于10%-20%的互联网站。为进一步提高互联网站可配合相关非技术手段进行互联网站管理，以下是针对本文中IP隐藏场景可采用的非技术手段进行阐述。

关键词：CDN加速导致IP地址隐藏；安全防护导致IP地址隐藏；智能DNS导致IP地址隐藏；NAT网络地址转化导致IP地址隐藏

中图分类号：TP311 文献标识码：A

文章编号：1009-3044（2019）11-0073-03

为切实加强互联网站管理工作，规范、细化互联网行业管理流程，促进我国互联网全面、协调、可持续发展，信息化产业部制定了《互联网站管理工作细则》，要求互联网IP地址、互联网络域名等网站管理基础信息数据库的完整、准确。但随着新技术应用和发展，导致网站真实IP地址被隐藏，这给通信管理局进行ICP、IP地址信息备案管理、违法违规网站的查处、互联网接入服务市场的监管、网站年度审核等工作带来了严重的挑战，本专题通过对互联网IP地址隐藏情况进行分析，研究各场景真实IP地址查找方法，并对结合管理手段对互联网网站进行管理。

1 真实IP地址隐藏场景

1.1 CDN加速导致IP隐藏

CDN服务：内容分布网络——content distribution network（cdn）是构筑在现有的internet上的一种先进的流量分配网络。该网络将网站源服务器中的内容存储到分布于各地的应用节点服务器中，通过网络的动态流量分配控制器，将用户请求自动指向到健康可用并且距离用户最近的应用节点服务器上，以提高用户访问的响应速度和服务的可用性，以下是CDN技术访问原理：

由此，当用户访问节点服务器的时候，访问的IP地址也就是节点服务器的IP地址，并非WEB服务器真实。

1.2 安全防护导致IP隐藏

1.2.1 云安全防护导致IP隐藏

市面上提供云防护产品的厂家很多，常见的有安恒的玄武盾、知道创宇、上海云盾等，这些厂家基本都是将用户的域名解析指向到自己的云防护节点上或者干脆直接采用厂家的DNS解析服务，通过自己的高防云服务器来为用户提供安全防护，云防护节点则部署在各地CDN节点上。这样对于普通用户来说，访问的是厂家云防护节点，无法获取网站的真实IP地址。

1.2.2 本地安全防护导致IP隐藏

本地安全防护常见部署模式包括：透明代理、反向代理、路由代理，其中反向代理模式反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是安全防护设备。

1.3 IP负载均衡导致IP隐藏

IP负载均衡将可以将多个WEB应用請求分摊到多个WEB服务器上，从而提高并发处理能力，但用户访问的地址为其实IP负载均衡设备虚拟地址，从而实现了真实IP地址的隐藏。

1.4 智能DNS导致IP隐藏

智能DNS就是根据用户的来路，自动智能化判断来路IP返回给用户，而不需要用户进行选择。如下图所示，比方一个企业的站点三个运营商的带宽都有：电信、网通、移动，同样有三个来自不同运营商网络的访问用户，那电信访问企业网址的时候，智能DNS会自动根据IP判断，再从电信返回给电信用户；其他的也同理。

1.5 NAT网络地址转换导致IP隐藏

网络地址转换（NAT，Network Address Translation）是一种将一组 IP地址映射到另一组 IP，对于普通用户来说是透明的，用户访问的是转换以后的地址，从而实现了真实地址隐藏。此技术一般用于内网地址转换。

2 带来安全挑战

由于以上技术的应用导致了互联网站真实IP地址被隐藏，为现有工作带来了严重的挑战：

1）存在监管风险

难以溯源、封堵，增加了对违法违规网站封堵的难度。

2）管理风险

加大了对网站备案管理难度，难以区分哪些IP地址上的网站未进行备案。

3）安全风险

（1）CDN自身存在安全漏洞，增加网站被篡改风险；

（2）由于域名解析指向的是防护节点、或CDN，导致用户数据在CDN或防护设备上被获取。

4）安全风险监控难度加大

由于网站接入IP与域名解析地址对应关系更加复杂，导致DNS篡改、DNS投毒等安全事件难度加大。

3 安全建议

针对以上IP地址隐藏场景部分可采用附件一中的方法进行真实IP地址的查找，但其适用场景有限，只适用于10%-20%的互联网站。为进一步提高互联网站可配合相关非技术手段进行互联网站管理，以下是针对本文中IP隐藏场景可采用的非技术手段进行阐述：

1） CDN加速、云防护隐藏IP地址场景，可要求CDN加速及云防护提供商提供网站加速及防护日志，日志内容包括域名、防护或加速节点IP、互联网站接入IP等信息。

2） 对于使用本地安全防护导致解析地址与接入地址不一致时，可采用备案方式将域名与真实IP、防护地址进行备案。

3） 对于使用智能DNS的企业，需提供智能DNS解析记录日志，日志包括解析域名、IP地址、原地址等。

4） 对于使用NAT网络地址转换的企业导致解析地址与接入地址不一致的，需要留存并提供NAT地址转换记录，记录包括域名、IP地址、NAT转化后地址等。

5） 针对政府机构自行建设的云防护平台，采用“谁运营谁负责”原则，由建设单位对互联网IP地址及域名进行管理。

6） 总结

通过随机抽取了近600进行分析，发现15%使用的是阿里云服务器，3%的网站使用了CDN加速技术，7%的网站采用了web应用防火墙，5%的网站使用云防护技术，14%的网站使用负载均衡技术，由于以上技术使用，均可能导致备案IP与接入地址不符。

4 应用技术

CDN加速、云安全防护、本地安全防护、IP负载均衡、智能DNS、NAT网络地址转化；

4.1 商业、业务应用场景

1） CDN适用于站点加速、点播、直播等场景，将源站内容分发至最接近用户的节点，使用户可就近取得所需内容，该技术常用于向多地用户提供的WEB应用服务的企业或单位。

2） 云安全防护采用云服务模式，在各地部署防护节点，可快速部署网站安全，提供统一的网站安全防护，该技术能够为企业或单位提供快捷网站的接入，而且成本较低。

3） 本地安全防护是指传统的web应用防火墙提供的安全防护，可帮助企业提供WEB应用常用攻击，应用场景大，产品比较成熟，现有企业使用较多。

4） 负载均衡应用于WEB访问量大，需要多台服务器共同承担访问压力场景，适用于企业单位网站用户多，对实时响应要求较高的企业。

5） 智能DNS能自动判断访问者的IP地址并解析出对应的IP地址，使网通用户会访问到网通服务器，电信用户会访问到电信服务器。适用于有多条网络链路同时提供服务的企业，启动链路优化的作用。

6） NAT网络地址转化技术一般用于内网地址转换，将内网地址转换为外网地址，为公众提供网络服务。

4.2 隐藏真实Ip的风险

1） CDN加速增加违规网站封堵的难度、加大了站备案管理难度、增加网站被篡改风险、增加了用户数据泄露风险、增加了安全事件监控难度。

2） 云安全防护增加违规网站封堵的难度、加大了站备案管理难度、增加了用户数据泄露风险、增加了安全事件监控难度。

3） 本地安全防護增加了安全事件监控难度、加大了站备案管理难度。

4） 负载均衡增加了安全事件监控难度、加大了站备案管理难度、增加违规网站封堵的难度。

5） 智能DNS增加了安全事件监控难度、加大了站备案管理难度、增加违规网站封堵的难度。

6） NAT网络地址转化增加了安全事件监控难度、加大了站备案管理难度。

4.3 管理上的建议

1） CDN加速：要求CDN加速及云防护提供商提供网站加速及防护日志，日志内容包括域名、防护或加速节点IP、互联网站接入IP等信息；

2） 云安全防护：CDN加速、云防护隐藏IP地址场景，可要求CDN加速及云防护提供商提供网站加速及防护日志，日志内容包括域名、防护或加速节点IP、互联网站接入IP等信息；

3） 本地安全防护：对于使用本地安全防护导致解析地址与接入地址不一致时，可采用备案方式将域名与真实IP、防护地址进行备案；

4） 负载均衡：提供IP负载多台服务器IP地址；

5） 智能DNS：于使用智能DNS的企业，需提供智能DNS解析记录日志，日志包括解析域名、IP地址、原地址等；

6） NAT网络地址转化：于使用NAT网络地址转换的企业导致解析地址与接入地址不一致的，需要留存并提供NAT地址转换记录，记录包括域名、IP地址、NAT转化后地址等。

附件一：技术手段IP地址查找方法

以下是针对各个IP隐藏场景所采用的技术手段：

IP地址隐藏场景：CDN加速、云安全防护、本地安全防护、IP负载均衡、智能DNS、NAT网络地址转化。

技术识别手段：顶级域名解析法、二级域名解析法、域名历史解析记录、利用国外主机来PING、邮件服务、顶级域名解析法、二级域名解析法、域名历史解析记录、邮件服务、查找探针方法、F5 LTM解码法。

适用场景：顶级域名未做加速、未所有的二级域名放cdn上、未做国外的CDN、服务器本地自带sendmail、顶级域名未做加速、未所有的二级域名防护、服务器本地自带sendmail、在服务上具有类似于phpinfo类探针、F5设备做的负载均衡。

4.3.1 针对CDN场景IP地址查找

在CDN做得比较，或者整个站都用CDN加速了，几乎找不到他的源站的真实IP的，因为对于公众用户来说真实IP被CDN给屏蔽了，是个黑盒子。下面，我们从一些特别的角度去绕过CDN找源站IP。

4.3.1.1 顶级域名解析

因为了解到现有很多CDN厂商基本只要求把www.xxx.com cname到cdn主服务器上去，而且有人为了维护网站时更方便，不用等cdn缓存，只让WWW域名使用cdn，顶级域名不使用。所以试着把目标网站的www去掉，ping一下顶级域名，看ip是否为真实地址。

4.3.1.2 二级域名法

目标站点一般不会把所有的二级域名放cdn上，比如试验性质地二级域名。baidu site一下目标的域名，看有没有二级域名出现，挨个排查，确定了没使用cdn的二级域名后，本地将目标域名绑定到同ip，能访问就说明目标站与此二级域名在同一个服务器上。

不在同一服务器也可能在同C段，扫描C段所有开80端口的ip，挨个试。

如果google搜不到也不代表没有，我们拿常见的二级域名构造一个字典，猜出它的二级域名。比如mail、cache、img。

4.3.1.3 查找域名历史解析记录

指的是查找域名历史解析记录，因为域名在上CDN之前用的IP，很有可能就是CDN的真实源IP地址。

有个专门的网站提供域名解析历史记录查询：

http：//toolbar.netcraft.com/site_report？url=www.xxx.com

4.3.1.4 用国外主机来ping

大部分CDN提供商只针对国内市场，而对国外市场几乎是不做CDN，所以有很大的概率会直接解析到真实IP。用国外的多节点ping工具，例如just-ping，全世界几十个节点ping目标域名，很有可能找到真实ip。

域名：http：//www.just-ping.com/

4.3.1.5 邮件服务

有的服务器本地自带sendmail… 注册之后，会主动发一封邮件给我们。。。 好吧。打开邮件的源代码，就能看到服务器的真实Ip了。有的大型互联网网站会有自己的Mailserver…应该也是处在一个网段的， 那个网段打开80的一个一个进行测试。

4.3.2 针对云防护场景IP地址查找

云安全防护IP隐藏的原理与CDN加速隐藏IP地址原理一致，可利用1.1.2章节的办法进行真实IP地址查找。

4.3.3 针对本地防护场景IP地址查找

针对此类IP地址隐藏情况，查找真实IP地址比较困难，可利用查找phpinfo（）之类的探针方法获取服务器真实IP地址。

4.3.4 针对负载均衡场景IP地址查找

针对此类IP地址隐藏情况，可利用负载均衡的属性获取真实IP地址。如F5可通过解析BIGipServerpool獲取获取真实IP地址。F5 LTM解码法即当服务器使用F5 LTM做负载均衡时，通过对set-cookie关键字的解码真实ip也可被获取，例如：Set-Cookie： BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小节的十进制数即487098378取出来，然后将其转为十六进制数1d08880a，接着从后至前，以此取四位数出来，也就是0a.88.08.1d，最后依次把他们转为十进制数10.136.8.29，也就是最后的真实ip。

【通联编辑：李雅琪】