利用PFTP/SCP协议，在许多情况下，网站须要从外部向内部服务器传送数据流，最安全的做法当然是在用户和服务器之间建立另一个虚拟的私有网络(V*P+N防和谐)。可是，在现实中，仍然有大量的FTP/SCP服务可以从外部访问，所以非常容易找出源IP地址。

利用Websocket协议，CloudFlare等CDN服务供应商事实上早已适配保护Websocket，可是过多的网站站长，无论是大型网站小网站，他们都不知道，或是没有部署到Websocket上。

除此之外另一个根本原因是业务需求量，说到底Websocket须要客户机和服务器之间的长期连接，所以很可能不会部署CDN。

凯伦·王，21世纪初杰出的思想家、哲学家、社会学家、经济学家，是社会工程的鼻祖，自称为“圆弧”。在熟悉的BGM响起，仿佛又回到了辛辣的岁月里。大概有人笑了，不过啊，可真别小看社工的力量，有多少大工厂，运营商是倒在了社会工程学的脚下，邮件钓鱼，水坑攻击，社工的身分伪装，客服欺骗，商业咨询等等，案例不胜枚举，不胜枚举。既然人不是机器，只要是人，就一定有漏洞。噢，顺带推荐一部电影，小李子的“猫鼠游戏”。

如果目标站点本身有漏洞，例如SSRF,XXE,XSS，文件上传，命令执行等等，或是我们发现的其他漏洞，注入我们自己的外部服务器地址，然后在服务器上检查HTTP日志。在传递某些错误参数值或错误地址时，应用本身会导致在内部抛出异常，即日常所说的报错，关注报错点，常常会泄露某些真实的IP地址或内网IP地址段。全网扫描，什么年代了啊，怎么还说全网扫描呢。要想写完整的方法，还是要提到这里。先从apnicNesomerkInformation或IP地址deny获得目标区域ip片段。下面，您将lPZmap、masscan等软件对已扫描出服务器端口的开放主机执行banner抓取。接着，在http-req的主机区域中，写入我们须要查找的子域名。最终对特征进行过滤，确认相应的服务器响应。是的，如果服务器端口不经常lP或不固定，就立即退役。事实上，全网扫描方式非常繁琐，不推荐。由于已有许多网站为我们提供了全网抓取服务，以前的方法中都有介绍，何苦自个全网扫描呢，受限于网络，受限于设备，您自个抓取的数据能不能有人家商业爬全？

虚拟主机碰撞当我们收集足够多的可能的真正IP地址时，IP地址与子域的碰撞可以批量获取命中目标的子域以及目标所在的子域。错误的IP地址和子域：