宝塔面板屏蔽 Censys的配置方法(防止源站 IP 泄露)
我要评论Censys 搜索引擎很强大。Censys 每天都会扫描 IPv4 地址空间,以搜索所有联网设备并收集相关的信息,并返回一份有关资源(如设备、网站和证书)配置和部署信息的总体报告。
在 IP 前加上 https 访问时,Nginx 会自动返回该网站的 https 证书,从而暴露相关域名信息。哪怕是套了 CDN 也还是会被扫到。Censys 还会扫描端口,例如 80、8000、8080、443、4433。
所以为了防止,自己的网站被攻击我们需要屏蔽掉 Censys 的扫描。据我所知有四种办法,分部是屏蔽 Censys 的 UA、屏蔽 Censys 的 IP 段、建立虚假网站以及使用 Nginx 的特性。四种方法,选其一即可。当然如果你觉得不够安全,可以都使用。
系统: ubuntu22.04
nginx: 1.25.5
1.屏蔽 Censys 的 IP 段
Censys 的 IP 段在其官网有。我的机子使用的是 Ubuntu 系统,带有 UFW 防火墙,按照下面的命令建立规则即可。
Censys IP段 :https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Data-Collection
复制以下命令到ssh终端运行:
sudo ufw deny from 162.142.125.0/24 sudo ufw deny from 167.94.138.0/24 sudo ufw deny from 167.94.145.0/24 sudo ufw deny from 167.94.146.0/24 sudo ufw deny from 167.248.133.0/24 sudo ufw deny from 199.45.154.0/24 sudo ufw deny from 199.45.155.0/24 sudo ufw deny from 206.168.34.0/24 sudo ufw deny from 2602:80d:1000:b0cc:e::/80 sudo ufw deny from 2620:96:e000:b0cc:e::/80 sudo ufw deny from 2602:80d:1003::/112 sudo ufw deny from 2602:80d:1004::/112
重载ufw生效,重启nginx
sudo ufw reload #重载ufw ufw status # 查看状态 sudo systemctl reload nginx # 重启nginx
2.屏蔽 Censys 的 UA
如果你使用了 CDN ,那么就要在 CDN 中屏蔽掉 Censys 扫描使用的 UA。
Censys 扫描使用的 UA 如下:
Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)
例如cloudflare cdn
安全性–WAF–自定义规则
字段:用户代理
运算符: 等于
值:Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)
3.使用 Nginx 新特性(推荐)
Nginx 1.19.4 版本以上,新增了一个特性,ssl_reject_handshake 在 IP 访问时会终止 TLS 握手,也就不会暴露域名了。
例如宝塔面板:
在 /www/server/panel/vhost/nginx 目录找到 0.default.conf 删除原有代码,添加如下代码:
server {
listen 443 ssl default_server;
# 如果有 IPv6 地址的需要,则加入下面这行。
# listen [::]:443 ssl default_server;
ssl_reject_handshake on;
}重启nginx生效::
/etc/init.d/nginx restart
4.建立虚假网站
网站是一个纯静态网站,网站的文件,除了 .htaccess 和 .user.ini 这两个文件,其他的全删除。添加自签的空白 SSL 证书,强制 HTTPS,设置为默认网站
1.生成自签名证书(一路回车键)
mkdir -p /opt/signcert && cd /opt/signcert openssl req -x509 -newkey rsa:4096 -keyout OpenLiteSpeed-key.pem -out OpenLiteSpeed-cert.pem -nodes -days 365 # 一路回车
2.替换证书
cat /opt/signcert/OpenLiteSpeed-cert.pem > /www/server/panel/vhost/cert/ip.com/fullchain.pem cat /opt/signcert/OpenLiteSpeed-key.pem > /www/server/panel/vhost/cert/ip.com/privkey.pem /etc/init.d/nginx restart
3.下一步到假站点保存一下ssl证书使其生效
设置假站点为默认站点
完结!
5.利用censys查询所需要的信息
First open this website: https://search.censys.io/
1、打开网站https://search.censys.io/
Then enter: services.http.response.headers.location: account.jetbrains.com/fls-auth in the search box, click Search, the website will retrieve many IP addresses
2、在输入框数据 services.http.response.headers.location: account.jetbrains.com/fls-auth后点击Search,网站会返回许多地址
Click any IP address to view the details page, make sure the Status Code under the 80/HTTP address is 302, then copy the IP address here in Detail as our License Server address
3、点击任何一个地址,并查看详情页,确定端口为80的地址状态码为302。复制ip地址。
4. As above, enter the address and click Activate 最后点击Activate按钮即可。
相关文章
宝塔面板屏蔽 Censys的配置方法(防止源站 IP 泄露)
Censys 搜索引擎很强大,Censys 每天都会扫描 IPv4 地址空间,以搜索所有联网设备并收集相关的信息,并返回一份有关资源(如设备、网站和证书)配置和部署信息的总体报告2025-03-01
近来站长们应该基本都遇到过 DDOS 攻击,特别是 CC,如果放任不管,会导致服务器资源紧张,导致用户无法正常访问,有时间就算接入了高防服务器,源站 IP 还是被打,网站打不2025-03-01
当我们谈论绕过CDN查找真实IP的时候,不得不提到SSL证书,它确实是我们寻找真实IP的一大利器,至于为什么SSL证书会导致源站IP泄露?很多人或许没有深入了解这个问题,目前好2025-03-01
默认CloudFlare都是让大家通过dns接入,但大家因为已经习惯了dnspod等解析方式,那么cname就比较方便大家使用了,下面为大家分享一下cname的接入方法,需要的朋友可以参考下2025-02-20- 是否需要高防服务器呢,最近很多网站遭受ddos与cc攻击,双11之际旅途云特为大家提供了性价比更高的高防服务器套餐需要的朋友可以咨询2023-11-12
- 在本篇文章里小编给大家整理的是关于华为云优惠券领取的方法和入口,有此需要的朋友们可以领取下,希望对你有帮助。2020-03-12
- 在本篇文章里小编给大家整理了关于华为云优惠券使用方法和详细步骤,有兴趣的朋友们可以学习下。2020-03-12
我们给大家带来如何用优惠的方法购买华为云主机的方法以及给大家分享华为云的优惠券和代金券,希望能够帮助到大家。2020-02-26
进行https证书申请安装和tomcat https证书安装的方法
对于https证书,想必大家已经非常熟悉了,这是一种可以保护网站安全的证书,以https开头的网站都是具有这一证书的网站。今天给大家介绍怎样进行https证书申请安装和tomcat2019-10-31
库店创始人郑剑豪,原寺库商城总经理,2010年聚划算创始团队成员,5年时间帮助寺库成功上市。库店,是美国纳斯达克上市企业寺库旗下高品质社交电商平台,获京东与LVMH集团旗下基2018-11-01
最新评论