یافتن آی پی اصلی سایت پشت کلودفلر (Cloudflare) با ابزارهای آنلاین

در دنیای امنیت سایبری، پنهان‌سازی هویت اصلی سرور یکی از ارکان اساسی دفاع در برابر حملات اینترنتی محسوب می‌شود. مدیران وب‌سایت‌ها تلاش می‌کنند با قرار دادن سایت خود پشت سرویس‌های محبوب مانند Cloudflare، ارتباط مستقیم با سرور مبدا را قطع کنند. اما در مقابل، متخصصان امنیت و تست نفوذ همواره به دنبال روش‌هایی هستند تا بتوانند این لایه‌های امنیتی را کنار زده و به آدرس اصلی دست پیدا کنند. در این مقاله به بررسی عمیق معماری این سرویس‌ها و معرفی ابزارهای دقیق برای شناسایی IP واقعی در شبکه کلودفلر می‌پردازیم.

نقش پروکسی کلود در معماری اینترنت

برای درک نحوه پیدا کردن آدرس اصلی، ابتدا باید بدانیم که این سرویس‌ها چگونه کار می‌کنند. سرویس‌دهنده‌هایی مانند Cloudflare در واقع یک لایه واسط هوشمند هستند که میان کاربر نهایی و سرور اصلی قرار می‌گیرند. در اصطلاح فنی، این ساختار به عنوان پروکسی کلود شناخته می‌شود که وظیفه دارد تمامی درخواست‌های ارسالی به سمت سایت را دریافت، بررسی و سپس به سرور میزبان منتقل کند.

این معماری باعث می‌شود که ترافیک مخرب قبل از رسیدن به دیتاسنتر اصلی فیلتر شود. همچنین به دلیل توزیع سرورها در نقاط مختلف جغرافیایی، سرعت دسترسی کاربران افزایش می‌یابد. اما مهم‌ترین ویژگی این سیستم، مخفی ماندن IP واقعی سرور است که کار را برای مهاجمان دشوار می‌سازد.

مفهوم و کاربرد آی پی تمیز کلودفلر چیست

زمانی که یک وب‌سایت از خدمات CDN استفاده می‌کند، در واقع آدرس اینترنتی خود را با آدرس‌های عمومی شرکت سرویس‌دهنده جایگزین می‌کند. به این آدرس‌های جایگزین که فاقد سابقه اسپم یا بلاک شدن هستند و توسط این سرویس‌دهنده به کاربران نمایش داده می‌شوند، آی پی تمیز کلودفلر (Cloudflare) گفته می‌شود. استفاده از این شناسه باعث می‌شود که اگر کسی قصد حمله DDoS به سایت را داشته باشد، عملا به دیوارهای مستحکم کلودفلر حمله کند نه به سرور اصلی سایت.

با این حال، گاهی اوقات به دلیل پیکربندی اشتباه یا سوابق قدیمی، این حصار امنیتی شکسته می‌شود. اگر آدرس واقعی سرور (Real IP) افشا شود، تمام مکانیزم‌های دفاعی CDN دور زده شده و سرور مستقیما در معرض خطر قرار می‌گیرد.

روش‌های کشف آدرس اصلی با ابزار DNSTrails

یکی از قدرتمندترین روش‌ها برای یافتن آدرس مخفی شده پشت کلودفلر، بررسی سوابق DNS دامنه است. بسیاری از وب‌سایت‌ها قبل از انتقال به این شبکه توزیع محتوا، روی همان IP فعلی فعالیت می‌کردند و این سوابق در دیتابیس‌های جهانی ذخیره شده است. وب‌سایت DNSTrails.com یک ابزار حیاتی در این زمینه است که امکانات زیر را ارائه می‌دهد:

• آنالیز سوابق فعلی (Current DNS Records): بررسی وضعیت فعلی رکوردها که ممکن است حاوی اطلاعات نشت شده باشد.
• داده‌های تاریخی (Historical Data): این بخش مهم‌ترین قسمت برای شکارچیان IP است. ابزار مذکور تاریخچه‌ای از تمام تغییرات DNS دامنه را نگه می‌دارد. اگر مدیر سرور فراموش کرده باشد پس از فعال‌سازی CDN، آدرس سرور خود را تغییر دهد، IP اصلی در سوابق تاریخی قابل مشاهده خواهد بود.
• بررسی سابدامین‌ها (Subdomains): گاهی اوقات دامنه اصلی محافظت شده است، اما زیردامنه‌ای مانند ftp.site.com یا mail.site.com مستقیما به سرور اصلی اشاره می‌کند و از پروکسی رد نمی‌شود.

پیکربندی فایروال برای جلوگیری از دور زدن کلودفلر (Cloudflare)

پیدا شدن آی‌پی اصلی سایت به معنی شکست کامل لایه امنیتی است، زیرا مهاجمان می‌توانند ترافیک خود را مستقیما به سمت سرور بفرستند و WAF کلودفلر را دور بزنند. برای جلوگیری از این اتفاق، مدیران سیستم باید دسترسی مستقیم به پورت‌های وب (مانند 80 و 443) را محدود کنند.

راهکار اصولی این است که در تنظیمات فایروال سیستم‌عامل (مانند IPTables یا UFW) و یا در سطح روتر، تنها بازه‌های IP متعلق به کلودفلر را در لیست سفید (Whitelist) قرار دهید. بدین ترتیب، حتی اگر کسی آدرس آی‌پی شما را پیدا کند، قادر به ارسال درخواست مستقیم نخواهد بود. اگر برای میزبانی سایت خود از سرور مجازی VPS استفاده می‌کنید، پیاده‌سازی این رول‌های امنیتی در فایروال نرم‌افزاری بسیار ساده و حیاتی است و تضمین می‌کند که هیچ درخواستی خارج از کانال امن CDN پردازش نخواهد شد.

افشای آی‌پی از طریق گواهینامه‌های SSL

یکی دیگر از روش‌های مرسوم برای پیدا کردن سرور اصلی، جستجو در دیتابیس‌های اینترنتی مانند Censys یا Shodan است. زمانی که شما سایت را پشت کلودفلر می‌برید، همچنان باید یک گواهینامه SSL روی سرور اصلی خود داشته باشید تا ارتباط بین کلودفلر و سرور رمزنگاری شود.

ابزارهایی مانند Censys تمام فضای اینترنت را اسکن می‌کنند و اطلاعات گواهینامه‌های SSL را ذخیره می‌نمایند. اگر مهاجم نام دامنه شما را در این موتورهای جستجو وارد کند، این ابزارها تمام آی‌پی‌هایی را که گواهینامه‌ای مرتبط با آن دامنه را ارائه می‌دهند، لیست می‌کنند. اگر سرور شما به‌درستی کانفیگ نشده باشد و روی آی‌پی مستقیم پاسخ دهد، هویت آن به سادگی فاش می‌شود.

ردیابی آدرس سرور از طریق هدر ایمیل

بسیاری از وب‌سایت‌ها فراموش می‌کنند که ترافیک ایمیل را از ترافیک وب جدا کنند. اگر وب‌سایت شما مستقیما از طریق همان سروری که سایت روی آن میزبانی شده است ایمیل ارسال کند (مثلا ایمیل تایید ثبت‌نام، بازیابی رمز عبور یا فرم تماس)، آی‌پی اصلی سرور در هدر ایمیل ارسالی ثبت می‌شود.

مهاجمان می‌توانند با ثبت‌نام در سایت یا ارسال یک پیام از طریق فرم تماس، ایمیلی از سمت سایت دریافت کنند. سپس با بررسی سورس ایمیل (Show Original) و چک کردن بخش Received در هدر، آی‌پی فرستنده را مشاهده کنند. راهکار جلوگیری از این نشت اطلاعات، استفاده از سرویس‌های ارسال ایمیل شخص ثالث (SMTP Relay) است تا ایمیل‌ها از سرور دیگری ارسال شوند.

آسیب‌پذیری‌ در آپلود فایل و لینک‌های خارجی

برخی از قابلیت‌های وب‌سایت که نیاز به فراخوانی لینک‌های خارجی دارند، می‌توانند باعث لو رفتن آی‌پی شوند. برای مثال، اگر سایت شما قابلیتی دارد که کاربر می‌تواند عکسی را از یک آدرس اینترنتی (URL) آپلود کند، سرور شما مجبور است برای دانلود آن عکس به آن آدرس متصل شود.

مهاجم می‌تواند یک لینک اختصاصی که تحت کنترل خودش است را به سایت بدهد. به محض اینکه سرور شما برای دانلود فایل به آن لینک مراجعه کند، آی‌پی سرور در لاگ‌های سرور مهاجم ثبت می‌شود. غیرفعال کردن پینگ‌بک‌ها (Pingback) در سیستم‌های مدیریت محتوا و محدود کردن دسترسی‌های خروجی سرور می‌تواند جلوی این مدل از نشت اطلاعات را بگیرد.

جمع‌بندی نهایی

استفاده از شبکه توزیع محتوا لزوما امنیت صد درصدی را تضمین نمی‌کند و مخفی ماندن آی‌پی سرور نیازمند رعایت اصول دقیق پیکربندی است. همان‌طور که در این مقاله بررسی کردیم، روش‌های متعددی از بررسی تاریخچه DNS گرفته تا تحلیل هدر ایمیل‌ها برای کشف آدرس واقعی وجود دارد. بنابراین، مدیران سرور باید با دیدگاهی چندلایه، تمام راه‌های نفوذ احتمالی را مسدود کرده و تنها به فعال‌سازی یک تیک در پنل CDN اکتفا نکنند.