上一篇文章讲到,可以通过一条命令就暴露你在CDN后面隐藏的IP和域名:
复制代码 上文:https://bbs.111111.online/d/439 没错,今天讲的 Censys 这个网站就是利用这个原理,扫描整个互联网的IP,然后暴露出你的真实域名和IP,即便你套了CDN,网站如下: https://censys.io/ipv4 上文也讲到可以通过打nginx补丁解决这个问题,俺们还可以通过屏蔽Censys的IP段和爬虫解决这个问题。 Censys官方给的IP段和UA: https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Scanning 具体操作,NGINX上,server字段屏蔽censys爬虫就好了:
复制代码 或者直接屏蔽censys的IP段:
复制代码 如果你套了Cloudflare 的 CDN,你可以在防火墙,工具里屏蔽上面IP段,或者在工具,用户代理阻止里,创建一个阻止规则,如下:
复制代码 原文:https://bbs.111111.online/d/690 |
感谢分享干货 |
也可以只给CDN的IP开白名单,屏蔽所有名单外的IP CF的IP列表在这:https://www.cloudflare.com/ips/ |
是么,但是我的小站依然抗揍 |
本帖最后由 TulvL 于 2021-12-7 23:01 编辑
这种做法只防一家,关键是阻止nginx在servername不对的情况下返回有效证书 比如 ssl_reject_handshake on; https://www.codedodle.com/disable-direct-ip-access-nginx.html |
上一篇文章讲的就是 |
mark大佬的干货 |
ovh表示无所畏惧,来呀,d啊~c啊~ |
我是说这种问题要么ssl_reject_handshake on,要么自签证书给默认server,要么给CDN的IP开白名单。直接user_agent屏蔽censys比较少见。因为这只防君子不防小人。 |
真想弄你直接带HOST头域名扫Ip,扫完全段快的也就几天,最合适的办法是nginx只允许CDN的IP访问其他的IP访问直接403 |