Domaine vers IP avec CDN
ip domaine cdn · cdn ip domaine · ip origine domaine
Pourquoi un domaine derrière CDN affiche des IP de proxy et comment vérifier origine, DNS, WHOIS et en-têtes.
Par DN01 Network Team
Quand un domaine utilise un CDN, le lookup IP renvoie généralement des adresses du fournisseur edge, pas celles du serveur d'origine. Ce n'est pas une erreur : le navigateur se connecte au point de présence le plus proche ou disponible, puis le CDN relaie la requête en interne.
Utilisez /find-ip-address pour voir les IP publiques actuelles, Vérificateur DNS pour confirmer CNAME, A, AAAA et TTL, puis Vérificateur d'en-têtes HTTP pour lire les signaux de proxy, cache et redirection. Ajoutez WHOIS si vous devez identifier le réseau ou le domaine.
Ce flux sert pendant les migrations CDN, changements de fournisseur, incidents régionaux et revues de sécurité où l'origine ne doit pas être exposée.
Pourquoi l'IP n'est pas l'origine
Un CDN publie ses propres adresses pour absorber le trafic, appliquer TLS, filtrer les attaques et servir le cache. L'origine peut être dans un autre réseau et ne jamais apparaître en DNS public. Chercher l'IP du domaine ne suffit donc pas à savoir où vit l'application.
Dans certains déploiements, l'apex utilise A ou AAAA du CDN, tandis que www utilise CNAME. Dans les deux cas, l'IP publique vue par l'utilisateur appartient au bord. La question clé est de savoir si chaque chemin sert le bon contenu.
Vérifications à combiner
Confirmez d'abord les IP avec /find-ip-address. Regardez ensuite les enregistrements complets et le TTL dans Vérificateur DNS. Enfin, utilisez Vérificateur d'en-têtes HTTP pour les en-têtes cache status, server, via, location ou HSTS.
Si l'ASN ou le fournisseur ne correspond pas à l'attendu, interrogez l'IP dans WHOIS. Une réponse Cloudflare, Fastly, Akamai ou autre edge peut être normale ; un mélange ancien/nouveau fournisseur peut indiquer une propagation incomplète.
Risques en migration
Les erreurs fréquentes sont des enregistrements anciens sur un sous-domaine, AAAA publié seulement chez un fournisseur, certificats manquants pour le hostname ou DNS basculé avant les règles d'origine.
Pendant le changement, gardez les résultats avant/après. En cas de plainte, vous distinguerez cache DNS, edge mal configuré, origine indisponible ou redirection incorrecte.
Bonnes pratiques
Tenez un inventaire des domaines, CDN, origines et TTL. Ne dépendez pas de la mémoire d'équipe pour savoir quelle IP devrait apparaître. Documentez si l'IP publique appartient au CDN et qui administre l'origine.
Vérifiez régulièrement qu'il n'existe pas de contournement direct vers l'origine. DNS, WHOIS et en-têtes HTTP donnent des signaux rapides avant un audit plus profond.
Questions fréquentes
- Une IP de CDN cache-t-elle toujours l'origine ?
Elle masque l'origine en DNS public, mais celle-ci peut fuiter via anciens enregistrements, certificats, logs ou configurations externes.
- Est-ce grave si l'IP du CDN change ?
Non. Beaucoup de CDN tournent ou répondent par région. L'essentiel est de servir le bon domaine.
- Comment détecter un mélange de fournisseurs ?
Comparez A, AAAA, CNAME, ASN et en-têtes HTTP avant/après changement.