vps交流
当前位置:嘟嘟社区 > bbs > 正文

[nginx] 屏蔽Censys扫描你CND后的真实IP

2021-12-08 分类:bbs

上一篇文章讲到,可以通过一条命令就暴露你在CDN后面隐藏的IP和域名:

  1. curl -v -k https://35.186.1.1

复制代码

上文:https://bbs.111111.online/d/439

没错,今天讲的 Censys 这个网站就是利用这个原理,扫描整个互联网的IP,然后暴露出你的真实域名和IP,即便你套了CDN,网站如下:

https://censys.io/ipv4

上文也讲到可以通过打nginx补丁解决这个问题,俺们还可以通过屏蔽Censys的IP段和爬虫解决这个问题。

Censys官方给的IP段和UA:

https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Scanning

具体操作,NGINX上,server字段屏蔽censys爬虫就好了:

  1.         if ($http_user_agent ~* "^(?=.*censys)") {
  2.             return 444;
  3.         }

复制代码

或者直接屏蔽censys的IP段:

  1. deny 2620:96:e000:b0cc:e::/64;
  2. deny 162.142.125.0/24;
  3. deny 167.94.138.0/24;
  4. deny 167.94.145.0/24;
  5. deny 167.94.146.0/24;
  6. deny 167.248.133.0/24;
  7. deny 192.35.168.0/23;

复制代码

如果你套了Cloudflare 的 CDN,你可以在防火墙,工具里屏蔽上面IP段,或者在工具,用户代理阻止里,创建一个阻止规则,如下:

  1. Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

复制代码

原文:https://bbs.111111.online/d/690

感谢分享干货[nginx] 屏蔽Censys扫描你CND后的真实IP
也可以只给CDN的IP开白名单,屏蔽所有名单外的IP[nginx] 屏蔽Censys扫描你CND后的真实IP

CF的IP列表在这:https://www.cloudflare.com/ips/
是么,但是我的小站依然抗揍
本帖最后由 TulvL 于 2021-12-7 23:01 编辑

这种做法只防一家,关键是阻止nginx在servername不对的情况下返回有效证书

比如 ssl_reject_handshake on;

https://www.codedodle.com/disable-direct-ip-access-nginx.html

TulvL 发表于 2021-12-7 22:59
这种做法只防一家,关键是阻止nginx在servername不对的情况下返回有效证书

比如 ssl_reject_handshake on; …

上一篇文章讲的就是
ssl_reject_handshake on;
mark大佬的干货
ovh表示无所畏惧,来呀,d啊~c啊~

取个什么名好呢 发表于 2021-12-7 23:02
上一篇文章讲的就是
ssl_reject_handshake on;

我是说这种问题要么ssl_reject_handshake on,要么自签证书给默认server,要么给CDN的IP开白名单。直接user_agent屏蔽censys比较少见。因为这只防君子不防小人。
真想弄你直接带HOST头域名扫Ip,扫完全段快的也就几天,最合适的办法是nginx只允许CDN的IP访问其他的IP访问直接403
标签: