Censys 搜索引擎很強(qiáng)大。Censys 每天都會掃描 IPv4 地址空間，以搜索所有聯(lián)網(wǎng)設(shè)備并收集相關(guān)的信息，并返回一份有關(guān)資源（如設(shè)備、網(wǎng)站和證書）配置和部署信息的總體報(bào)告。

在 IP 前加上 https 訪問時(shí)，Nginx 會自動返回該網(wǎng)站的 https 證書，從而暴露相關(guān)域名信息。哪怕是套了 CDN 也還是會被掃到。Censys 還會掃描端口，例如 80、8000、8080、443、4433。

所以為了防止，自己的網(wǎng)站被攻擊我們需要屏蔽掉 Censys 的掃描。據(jù)我所知有四種辦法，分部是屏蔽 Censys 的 UA、屏蔽 Censys 的 IP 段、建立虛假網(wǎng)站以及使用 Nginx 的特性。四種方法，選其一即可。當(dāng)然如果你覺得不夠安全，可以都使用。

系統(tǒng)： ubuntu22.04

nginx: 1.25.5

1.屏蔽 Censys 的 IP 段

Censys 的 IP 段在其官網(wǎng)有。我的機(jī)子使用的是 Ubuntu 系統(tǒng)，帶有 UFW 防火墻，按照下面的命令建立規(guī)則即可。

Censys IP段 ：https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Data-Collection

復(fù)制以下命令到ssh終端運(yùn)行：

sudo ufw deny from 162.142.125.0/24
sudo ufw deny from 167.94.138.0/24
sudo ufw deny from 167.94.145.0/24
sudo ufw deny from 167.94.146.0/24
sudo ufw deny from 167.248.133.0/24
sudo ufw deny from 199.45.154.0/24
sudo ufw deny from 199.45.155.0/24
sudo ufw deny from 206.168.34.0/24
sudo ufw deny from 2602:80d:1000:b0cc:e::/80
sudo ufw deny from 2620:96:e000:b0cc:e::/80
sudo ufw deny from 2602:80d:1003::/112
sudo ufw deny from 2602:80d:1004::/112

重載ufw生效,重啟nginx

sudo ufw reload     #重載ufw
ufw status          # 查看狀態(tài)
sudo systemctl reload nginx # 重啟nginx

2.屏蔽 Censys 的 UA

如果你使用了 CDN ，那么就要在 CDN 中屏蔽掉 Censys 掃描使用的 UA。

Censys 掃描使用的 UA 如下：

Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

例如cloudflare cdn

安全性–WAF–自定義規(guī)則

字段：用戶代理

運(yùn)算符： 等于

值：Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

3.使用 Nginx 新特性（推薦）

Nginx 1.19.4 版本以上，新增了一個(gè)特性，ssl_reject_handshake 在 IP 訪問時(shí)會終止 TLS 握手，也就不會暴露域名了。

例如寶塔面板：

在 /www/server/panel/vhost/nginx 目錄找到 0.default.conf 刪除原有代碼，添加如下代碼：

server {
    listen 443 ssl default_server;
    # 如果有 IPv6 地址的需要，則加入下面這行。
    # listen [::]:443 ssl default_server;
    ssl_reject_handshake on;
}

重啟nginx生效：:

/etc/init.d/nginx restart

4.建立虛假網(wǎng)站

網(wǎng)站是一個(gè)純靜態(tài)網(wǎng)站，網(wǎng)站的文件，除了 .htaccess 和 .user.ini 這兩個(gè)文件，其他的全刪除。添加自簽的空白 SSL 證書，強(qiáng)制 HTTPS，設(shè)置為默認(rèn)網(wǎng)站

1.生成自簽名證書(一路回車鍵)

mkdir -p /opt/signcert && cd /opt/signcert
openssl req -x509 -newkey rsa:4096 -keyout OpenLiteSpeed-key.pem -out OpenLiteSpeed-cert.pem -nodes -days 365  # 一路回車

2.替換證書

cat /opt/signcert/OpenLiteSpeed-cert.pem > /www/server/panel/vhost/cert/ip.com/fullchain.pem
cat /opt/signcert/OpenLiteSpeed-key.pem > /www/server/panel/vhost/cert/ip.com/privkey.pem
/etc/init.d/nginx restart

3.下一步到假站點(diǎn)保存一下ssl證書使其生效

設(shè)置假站點(diǎn)為默認(rèn)站點(diǎn)

完結(jié)！

5.利用censys查詢所需要的信息

First open this website: https://search.censys.io/

1、打開網(wǎng)站https://search.censys.io/

Then enter: services.http.response.headers.location: account.jetbrains.com/fls-auth in the search box, click Search, the website will retrieve many IP addresses

2、在輸入框數(shù)據(jù) services.http.response.headers.location: account.jetbrains.com/fls-auth后點(diǎn)擊Search，網(wǎng)站會返回許多地址

Click any IP address to view the details page, make sure the Status Code under the 80/HTTP address is 302, then copy the IP address here in Detail as our License Server address

3、點(diǎn)擊任何一個(gè)地址，并查看詳情頁，確定端口為80的地址狀態(tài)碼為302。復(fù)制ip地址。

4. As above, enter the address and click Activate 最后點(diǎn)擊Activate按鈕即可。

最新評論