办法很多，看具体目标的实际情况而定。

如果对方壳有是自建的可能，首先 尝试随便选一个目标有辨识性的url拿去更换ip发web请求扫同段IP，这个简易确认方法后面会多次提到。

通常我是扫前后16个C段就行，如果对方源服务器没有禁止web服务端口接收公众IP访问，就能扫出来。

去一些三方网站搜索域名历史解析记录，如果看对方的记录不是明显的动态ip，说明真实源IP有可能在他以前的IP或IP段中，也去扫一遍确认。

还可以猜测对方域名的…。