找服务器源IP的方法

上一篇文章我们提到了如保护自己的网站免遭DDoS的攻击，那这篇文章我们就来讲一下进攻的最最重要的手段之————查找源IP

方法一：直接Ping（适用于没上CDN的）

最简单粗暴的方法。

ping example.com

如果域名解析出来的是源站，那你运气不错，直接拿去用。 但如果显示的是Cloudflare、百度云加速之类的节点IP，说明这条路走不通。

方法二：用网络空间搜索引擎（比如 Censys、FOFA）

有些服务器在配置的时候会漏，比如没设置好防火墙，或者直接暴露服务端口。

去 Censys 或 FOFA 搜索域名、SSL证书指纹、HTTP服务信息，有机会找到真实IP。

例子：

• 搜域名 example.com
• 搜证书 SHA256 fingerprint
• 或者搜 Web 端口 443 的 banner

方法三：子域名爆破 + DNS历史记录

一些站点的子域名没接CDN，直接暴露了源IP，顺藤摸瓜能找到源站。

子域名爆破工具推荐：

• Subfinder
• Amass
• ksubdomain

拿到子域名后，配合 SecurityTrails 或 DNSdumpster 看历史解析记录。

方法四：通过SSL证书信息挖源IP

用 crt.sh 查域名历史证书：

https://crt.sh/?q=example.com

然后提取其中的证书信息，用 Censys、FOFA 去查有没有暴露的IP地址。

方法五：检查开发/测试接口

有些开发疏忽大意，源站会挂着调试接口，比如：

dev.example.com
test.example.com
api.example.com

这些接口往往没走CDN，能直连。

方法六：Email头部 & SPF记录

如果站点有发送邮件服务，查看邮件头部的 Received: 字段，里面常常会泄露真实IP。

另外，查 SPF 记录：

dig +short TXT example.com

里面可能会有 ip4: 的真实IP。

方法七：漏洞或配置错误

还有些低级错误：

• robots.txt 泄露子域名
• 网站JS文件里写死了API地址
• 服务器响应的 X-Forwarded-For、Via 头暴露了真实地址

总结

寻找源IP没啥万能方法，全靠“信息侧漏”。从上到下方法试一遍，成功概率挺高。

如果对方安全意识很强，全站走CDN+WAF+高匿托管服务，那基本只能靠社会工程学或者等他们犯错了（确信）。