Cloudflare Korumalı Sistemlere Yönelik Gerçek IP Adresi Tespit Çalışmaları

2009 yilindan beri hizmette olan Cloudflare en basit haliyle sitelerin DNS sunucu gorevini ustlenip guvenlik, hiz ve erisilebilirlik konularinda hizmet veren bir sistemdir. Cloudflare arkasindaki bir sistemin gercek IP adresi %100 bulunma ihtimali olmasa da bazi gozden kacan noktalar gercek IP adresini ifsa etmektedir.



  • Sistemin Gecmisini Incelemek
Sistem yoneticilerinin yaptiklari hatalardan birisi hali hazirda yayinda olan bir sistemi Cloudflare arkasinda alirken gercek IP adresini degistirmemektir. IP adresini degistirmeden bir sistemi Cloudflare arkasina almanin dezavantaji, interneti surekli izleyip kayit altina alan sistemlerde gercek IP adresinin ifsa olma ihtimalidir.


Ornegin, iki yildir aktif olan bir sistemin gercek IP adresini degistirmeden direkt olarak Cloudflare arkasinda almak ile almamak arasinda hicbir fark yoktur. Cunku tum interneti izleyip, kayit altina alan araclar hali hazirda bu sistemin gercek IP adresini kayit altina almis durumdadir ve bunu paylasmaktadir. Hedefin IP adresi degismeden Cloduflare arkasinda alinirsa Netcraft, Virustotal, PassiveTotal veya Passive DNS kayitlari tutan sistemlerde Cloudflare oncesindeki IP adresi bulunacaktir. Boylelikle hedefin gercek IP adresi Cloudflare’e gecmeden degistirilmediyse bulunabilir.


Ayirca http://www.crimeflare.com/cfs.html adresinden hedef aranarak gercek IP adresi bulunabilir.



  • Subdomain Brute Force
Bir sistem Cloudflare arkasina alinmissa tum subdomainler dahil tamamiyle Cloduflare arkasinda alinmasi gerekmektedir.


Sistem yoneticileri domaini ve www disindaki subdomainleri Cloduflare arkasina almayi unutabiliyor. Ornegin hedef sistemimiz artofpwn.net olsun. Bu sistemin domaini `artofpwn.net` ve `www.artofpwn.net` Cloudflare arkasinda. Ayni zamanda hedef sistemde baska subdomainlerde olsun; `img, test, ftp, mssql`. Eger sistem yoneticisi bu subdomainleride Cloudflare arkasinda almaz ise subdomainleri tespit eden saldirgan sunucunun gercek IP adresine erisebilir. Asagida hedef sisteme fierce araci ile yapilan subdomain brute force sonucuna dair ekran goruntusu verilmistir.



Yukaridaki ekran goruntusunde www ve mssql subdomainleri icin cozulen IP adresi Cloudflare’e aittir. ftp, img ve test icin cozulen IP adresleri ise sunucunun gercek IP adresi olup Cloudflare’e ait degildir.


  • E-Mail Baslik Bilgilerini Incelemek
Eger hedefin web sunucusu ve mail sunucusu ayni sunucuda bariniyorsa, hedeften alinabilecek bir mail uzerinden sunucunun gercek IP adresi elde edilebilir. Bunun icin hedeften gelen e-mailin baslik bilgilerini incelemek yeterli olacaktir.

 

 

Halil DALABASMAZ