二级域名  nslookup  百度，谷歌 搜集信息  
还听说有国外vpn ping的方式 不过我测试貌似不行

其实可以调查下目标的公司所在地，分析出公司最可能有自己机房的地方，这种分析对大公司比较靠谱。找个那个地区的机器再测试下

@kyo327，你说的还是有些模糊，每个方向都可以细化，也会有一些技巧，这个可以分享下

1 历史记录 2 phpinfo 3 经常用ping xxx.com代替ping www.xxx.com

@kyo327 @xsser 楼上的都说的都对,基本把我想到的办法都说了。哈哈.如果是我的话，肯定会先ping domain.com
然后ping子域,再nslookup.

其实，一般mail.xxx.com之类的办公域名，都不会交给cdn。但是有可能交给gmail或者qmail。但是列举更多的类似办公域名，基本也能猜出八九不离十了

楼上说的差不多了.我再来补充一点.
可以社工统计的帐号.比如51啦..而且有时候是没密码的..
大站不行,但我经常搞一些小站的时候可以看到比如说使用IDC分配的二级域名访问的记录..
中率不高.实在没辙可以试试.

然后就是剑心说的phpinfo
这个中率很高.很多大站都喜欢放个phpinfo
看你路径字典强度.很容易跑出来的.

ping xxx.com一般都会是真实IP，因为了解到现有很多CDN厂商基本只要求把www.xxx.com cname到cdn主服务器上去。

各位说的都不错，我再补充点：

查找“CDN、负载均衡、反向代理”等大型网络真实IP地址的方法
http://lcx.cc/?i=1959

同时我对各位的说法做了总结和点评，有兴趣的可以看看：http://lcx.cc/?i=1959

桑心，被说成YY，我也强调是大公司....faint

再说一个，小网站从无CDN到有CDN，会有一个IP变化的过程，netcraft.com会记录下来，也可以做参考  http://toolbar.netcraft.com/site_report?url=www.xxx.net  

@请叫我大神 ╮(╯_╰)╭

↖(^o^)↗

搞下CDN厂商也可 国内就那几家 小客服也有权限查看源ip的

@Ray 像加速乐这种，带自动回源的。很好找到IP

@蟋蟀哥哥 自动会源是什么？

网上N多反查网站，会记录的。

@请叫我大神 @核攻击 @l4mbda @蟋蟀哥哥 2G流量过去，用不着找，自己就出来了 bgp.he.net也值得参考

有的他们用CDN推送了 类似 www.baidu.com 但是缺忘记推送了baidu.com

tracert可以追踪到最真实的防火墙和服务器ip

@骨灰 tracert 追踪不到的，你试试就知道了。

@Mujj mujj  哈哈 居然在此见面了，膜拜大牛。。。。。除了ls很多思路不知道mujj有啥好的思路没！！！

@骨灰 蟋蟀哥哥说过一个很猥琐的，oschina的例子，rss和email都是源IP。