Censys 搜索引擎很強大。Censys 每天都會掃描 IPv4 地址空間，以搜索所有聯(lián)網(wǎng)設備并收集相關的信息，并返回一份有關資源（如設備、網(wǎng)站和證書）配置和部署信息的總體報告。

在 IP 前加上 https 訪問時，Nginx 會自動返回該網(wǎng)站的 https 證書，從而暴露相關域名信息。哪怕是套了 CDN 也還是會被掃到。Censys 還會掃描端口，例如 80、8000、8080、443、4433。

所以為了防止，自己的網(wǎng)站被攻擊我們需要屏蔽掉 Censys 的掃描。據(jù)我所知有四種辦法，分部是屏蔽 Censys 的 UA、屏蔽 Censys 的 IP 段、建立虛假網(wǎng)站以及使用 Nginx 的特性。四種方法，選其一即可。當然如果你覺得不夠安全，可以都使用。

系統(tǒng)： ubuntu22.04

nginx: 1.25.5

1.屏蔽 Censys 的 IP 段

Censys 的 IP 段在其官網(wǎng)有。我的機子使用的是 Ubuntu 系統(tǒng)，帶有 UFW 防火墻，按照下面的命令建立規(guī)則即可。

Censys IP段 ：https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Data-Collection

復制以下命令到ssh終端運行：

sudo ufw deny from 162.142.125.0/24
sudo ufw deny from 167.94.138.0/24
sudo ufw deny from 167.94.145.0/24
sudo ufw deny from 167.94.146.0/24
sudo ufw deny from 167.248.133.0/24
sudo ufw deny from 199.45.154.0/24
sudo ufw deny from 199.45.155.0/24
sudo ufw deny from 206.168.34.0/24
sudo ufw deny from 2602:80d:1000:b0cc:e::/80
sudo ufw deny from 2620:96:e000:b0cc:e::/80
sudo ufw deny from 2602:80d:1003::/112
sudo ufw deny from 2602:80d:1004::/112

重載ufw生效,重啟nginx

sudo ufw reload     #重載ufw
ufw status          # 查看狀態(tài)
sudo systemctl reload nginx # 重啟nginx

2.屏蔽 Censys 的 UA

如果你使用了 CDN ，那么就要在 CDN 中屏蔽掉 Censys 掃描使用的 UA。

Censys 掃描使用的 UA 如下：

Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

例如cloudflare cdn

安全性–WAF–自定義規(guī)則

字段：用戶代理

運算符： 等于

值：Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

3.使用 Nginx 新特性（推薦）

Nginx 1.19.4 版本以上，新增了一個特性，ssl_reject_handshake 在 IP 訪問時會終止 TLS 握手，也就不會暴露域名了。

例如寶塔面板：

在 /www/server/panel/vhost/nginx 目錄找到 0.default.conf 刪除原有代碼，添加如下代碼：

server {
    listen 443 ssl default_server;
    # 如果有 IPv6 地址的需要，則加入下面這行。
    # listen [::]:443 ssl default_server;
    ssl_reject_handshake on;
}

重啟nginx生效：:

/etc/init.d/nginx restart

4.建立虛假網(wǎng)站

網(wǎng)站是一個純靜態(tài)網(wǎng)站，網(wǎng)站的文件，除了 .htaccess 和 .user.ini 這兩個文件，其他的全刪除。添加自簽的空白 SSL 證書，強制 HTTPS，設置為默認網(wǎng)站

1.生成自簽名證書(一路回車鍵)

mkdir -p /opt/signcert && cd /opt/signcert
openssl req -x509 -newkey rsa:4096 -keyout OpenLiteSpeed-key.pem -out OpenLiteSpeed-cert.pem -nodes -days 365  # 一路回車

2.替換證書

cat /opt/signcert/OpenLiteSpeed-cert.pem > /www/server/panel/vhost/cert/ip.com/fullchain.pem
cat /opt/signcert/OpenLiteSpeed-key.pem > /www/server/panel/vhost/cert/ip.com/privkey.pem
/etc/init.d/nginx restart

3.下一步到假站點保存一下ssl證書使其生效

設置假站點為默認站點

完結！

5.利用censys查詢所需要的信息

First open this website: https://search.censys.io/

1、打開網(wǎng)站https://search.censys.io/

Then enter: services.http.response.headers.location: account.jetbrains.com/fls-auth in the search box, click Search, the website will retrieve many IP addresses

2、在輸入框數(shù)據(jù) services.http.response.headers.location: account.jetbrains.com/fls-auth后點擊Search，網(wǎng)站會返回許多地址

Click any IP address to view the details page, make sure the Status Code under the 80/HTTP address is 302, then copy the IP address here in Detail as our License Server address

3、點擊任何一個地址，并查看詳情頁，確定端口為80的地址狀態(tài)碼為302。復制ip地址。

4. As above, enter the address and click Activate 最后點擊Activate按鈕即可。

最新評論