全球主机交流论坛

标题: 屏蔽Censys扫描你CND后的真实IP [打印本页]

作者: 取个什么名好呢 时间: 2021-12-7 22:51
标题: 屏蔽Censys扫描你CND后的真实IP
上一篇文章讲到，可以通过一条命令就暴露你在CDN后面隐藏的IP和域名：

curl -v -k https://35.186.1.1

复制代码

上文：https://bbs.111111.online/d/439

没错，今天讲的 Censys 这个网站就是利用这个原理，扫描整个互联网的IP，然后暴露出你的真实域名和IP，即便你套了CDN，网站如下：

https://censys.io/ipv4

上文也讲到可以通过打nginx补丁解决这个问题，俺们还可以通过屏蔽Censys的IP段和爬虫解决这个问题。

Censys官方给的IP段和UA：

https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Scanning

具体操作，NGINX上，server字段屏蔽censys爬虫就好了：

if ($http_user_agent ~* "^(?=.*censys)") {
return 444;
}

复制代码

或者直接屏蔽censys的IP段：

deny 2620:96:e000:b0cc:e::/64;
deny 162.142.125.0/24;
deny 167.94.138.0/24;
deny 167.94.145.0/24;
deny 167.94.146.0/24;
deny 167.248.133.0/24;
deny 192.35.168.0/23;

复制代码

如果你套了Cloudflare 的 CDN，你可以在防火墙，工具里屏蔽上面IP段，或者在工具，用户代理阻止里，创建一个阻止规则，如下：

Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

复制代码

原文：https://bbs.111111.online/d/690

作者: Zeros 时间: 2021-12-7 22:53
感谢分享干货

作者: 这是最好的年代 时间: 2021-12-7 22:53
也可以只给CDN的IP开白名单，屏蔽所有名单外的IP

CF的IP列表在这：https://www.cloudflare.com/ips/

作者: 110e 时间: 2021-12-7 22:55
是么，但是我的小站依然抗揍

作者: TulvL 时间: 2021-12-7 22:59
本帖最后由 TulvL 于 2021-12-7 23:01 编辑

这种做法只防一家，关键是阻止nginx在servername不对的情况下返回有效证书

比如 ssl_reject_handshake on;

https://www.codedodle.com/disable-direct-ip-access-nginx.html

作者: 取个什么名好呢 时间: 2021-12-7 23:02

TulvL 发表于 2021-12-7 22:59
这种做法只防一家，关键是阻止nginx在servername不对的情况下返回有效证书

比如 ssl_reject_handshake on; ...

上一篇文章讲的就是
ssl_reject_handshake on;

作者: micms 时间: 2021-12-7 23:04
mark大佬的干货

作者: 二氧化碳 时间: 2021-12-7 23:07
提示: 作者被禁止或删除内容自动屏蔽

作者: TulvL 时间: 2021-12-7 23:11

取个什么名好呢发表于 2021-12-7 23:02
上一篇文章讲的就是
ssl_reject_handshake on;

我是说这种问题要么ssl_reject_handshake on，要么自签证书给默认server，要么给CDN的IP开白名单。直接user_agent屏蔽censys比较少见。因为这只防君子不防小人。

作者: cangshui 时间: 2021-12-7 23:13
真想弄你直接带HOST头域名扫Ip,扫完全段快的也就几天，最合适的办法是nginx只允许CDN的IP访问其他的IP访问直接403

作者: tcpdump 时间: 2021-12-7 23:13
自签ip证书作为默认证书

作者: 取个什么名好呢 时间: 2021-12-7 23:16

TulvL 发表于 2021-12-7 23:11
我是说这种问题要么ssl_reject_handshake on，要么自签证书给默认server，要么给CDN的IP开白名单。直接us ...

不错，自签证书和 ssl_reject_handshake 更具广泛性，其实无二论坛也有相关教程。只容许权威爬虫也是一个办法。

作者: 丶Silently 时间: 2021-12-7 23:20
限制只允许cf cdn访问 location / { include /etc/nginx/conf.d/allow_ip.conf; deny all; }

作者: 35954514 时间: 2021-12-7 23:21
可是我本来就用防火墙设置了只允许CDN访问我的服务器

作者: TulvL 时间: 2021-12-7 23:37

cangshui 发表于 2021-12-7 23:13
真想弄你直接带HOST头域名扫Ip,扫完全段快的也就几天，最合适的办法是nginx只允许CDN的IP访问其他的IP访问 ...

这还有一种办法，是禁止IPv4入站，回源全部走IPv6

作者: cangshui 时间: 2021-12-7 23:50

TulvL 发表于 2021-12-7 23:37
这还有一种办法，是禁止IPv4入站，回源全部走IPv6

对IPV6难扫，而且很多ddcc的脚本和平台不支持

作者: blacklife 时间: 2021-12-8 00:01
技术贴，感谢楼主，已收藏。

作者: wgedu 时间: 2021-12-8 00:05
学习学习了

作者: 美女约吗 时间: 2021-12-20 22:03
好像没什么用，试了好几个域名都没找到ip

作者: pony 时间: 2021-12-20 22:06
那么问题来了...

OVH的独服→外套CF

这样子的话

暴露了也没关系吧

CF防穿了就OVH扛

作者: 取个什么名好呢 时间: 2021-12-20 22:07
本帖最后由取个什么名好呢于 2021-12-20 22:18 编辑

pony 发表于 2021-12-20 22:06
那么问题来了...

OVH的独服→外套CF

这个应该是最安全的配置。

作者: 幻想生活 时间: 2021-12-20 22:11

cdn用的cf，国内就反代cf 死了就切cf，源站用ovh

作者: 表妹 时间: 2021-12-20 22:17
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临全球主机交流论坛 (https://91ai.net/)