Služba CloudFlare na svých stránkách uvádí, že poskytuje klientům ochranu před online hrozbami díky vlastní firewallové aplikaci pro webové stránky, ochrání stránky před DDoS útoky, nabízí jednu z nejrychlejších DNS služeb, optimalizuje webové stránky jak pro mobilní telefony, tak počítače, a v neposlední řadě nabízí optimalizaci CDN, kdy obsah stránky distribuuje po celém světě v rekordním čase, takže stránka je vždy blíž svému návštěvníkovi a načítá se mu rychleji.
Služba CloudFlare má ale i jednu temnou stránku – díky skrytí IP adresy hostingu webové stránky napomáhá kyberkriminalitě a bývá často zneužívána lidmi, kteří chtějí na svých stránkách například šířit autorsky chráněný obsah. My si v tomto článků ukážeme několik způsobů, jak zjistit skutečnou IP adresu webové stránky, která využívá služeb CloudFlare.
Nejsem ajťák, co mám dělat?
V první metodě se zaměříme na širokou veřejnost, která neumí pracovat s příkazovou řádkou a z IT odborných termínů jí naskakuje husí kůže.
Na internetu působí skupina CloudFlare-Watch, která se zabývá odhalováním skutečných IP adres webů, které službu CloudFlare používají a zároveň porušují zákony. Skutečné IP adresy jsou dohledatelné na jejich webových stránkách CrimeFlare.com.
Censys je vyhledávač, díky kterému můžete zjistit skutečnou IP adresu. Stačí napsat adresu stránky a u modrého tlačítka Search vybrat IPv4 Hosts.
Na stránkách Netcraft nabízejí službu Netcraft Site Report, díky které nejen že můžete zjistit celou historii změn spojených s webovou stránkou, ale v části Sender Policy Framework u mechanismu IP4 bývá jako argument uvedena skutečná IP adresa hostingu (pokud přeposílá zprávy).
Umím pracovat s příkazovou řádkou
Druhá část článku je zaměřená na odbornější část veřejnosti, která umí pracovat s příkazovou řádkou.
Nejjednodušší je stránku prostě „pinknout“.
ping DOMENA.CZ
– obvykle ukáže IP adresu služby CloudFlare
ping ftp.DOMENA.CZ
– už ale může ukázat skutečnou IP adresu hostingu, podobně:
ping cokoliv_co_te_napadne.DOMENA.CZ
– můžete napsat před doménu jakékoliv slovo
Pokud výše uvedené neklapne, můžete se uchýlit k metodě, která už nemusí být úplně nejlegálnější.
Jedná se u útok hrubou silou na DNS systém doménových jmen.
Doménové jméno se skládá z několika částí oddělených tečkami. Část vpravo je doména nejvyšší úrovně, v našem případě DOMENA.CZ jde o část CZ, jednotlivé části jsou subdomény.
Při útoku hrubou silou zkoušíme nejčastější subdomény, některé z nich mohou ukázat skutečnou IP adresu. K útoku potřebujeme mít nainstalovaný nástroj nmap a mít administrátorská oprávnění. Pak do příkazové řádky zapíšeme nejdříve:
nmap -sV -sS -F DOMENA.CZ
– nezjistí skutečnou IP adresu, ale potvrdí, že webová stránka používá CloudFlare
Samotný útok hrubou silou provedeme příkazem
nmap –script dns-brute -sn DOMENA.CZ
Při používání nmap zvažte, zda se nevyplatí skrýt se za proxy. Touto metodou již skutečnou IP adresu získáte.
Na internetu lze dohledat ještě Cloudflare Resolver Bash script, který vám po spuštění IP adresu odhalí.
Jinou metodou, kterou ne vždy lze využít, je nechávat si ze stránky přeposílat komentáře na vlastní e-mail. V hlavičce e-mailu se pak nejen dozvíte skutečnou IP adresu, ale i celou řadu dalších údajů.
Literatura:
HOW TO FIND REAL I.P. PROTECTED BY CLOUD FLARE?
