恰饭广告 感谢理解
恰饭广告 感谢理解
Q云
莆田潮牌鞋服
数字严选
创科云
如何有效防止Censys扫描揭示CDN源站真实IP

如何有效防止Censys扫描揭示CDN源站真实IP

Censys是一个网站,用于扫描整个互联网的IP地址,并揭示真实的域名和IP地址。即使网站已启用CDN,你仍然可能被暴露。该网站的链接为:https://search.censys.io/。为了防止Censys扫描CDN源站的真实IP地址,我建议采取以下两种方法:

1. 采用屏蔽Censys的IP段和爬虫的方法来解决这个问题。你可以使用Censys官方提供的IP段和用户代理进行屏蔽。具体操作请参考Nginx示例:

在server字段中屏蔽Censys爬虫

if ($http_user_agent ~* "^(?=.*censys)") {
            return 444;
        }

直接屏蔽Censys的IP段

162.142.125.0/24
167.94.138.0/24
167.94.145.0/24
167.94.146.0/24
167.248.133.0/24
2602:80d:1000:b0cc:e:/80
2620:96:e000:b0cc:e:/80

如果你使用Cloudflare的CDN,你可以在防火墙工具中屏蔽上述IP段,或者在用户代理阻止工具中创建一个阻止规则,规则示例如下:Mozilla/5.0 (compatible; CensysInspect/1.1).

2. 为IP地址访问创建单独的页面。

以Nginx为例

server {
        listen       80;
        server_name  183.3.226.35;
        location / {
            root   html;
            index  index.html index.htm;
        }

        error_page  404              /404.html;
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
   server {
        listen       443 ssl;
        server_name  183.3.226.35;

        ssl_certificate      cert1.pem;
        ssl_certificate_key  cert1.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

当使用https访问时,你可以自签名一个IP证书,或者使用其他任意证书,只要返回的域名不是你的真实域名即可。

这样一来,无论Censys在80端口还是443端口对你的IP地址(183.3.226.35)进行扫描,都无法获取到你的域名信息。因此,你可以达到屏蔽其扫描的目的。

© 版权声明
THE END
喜欢就支持一下吧
点赞24赞赏 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容