banner
libxcnya.so

libxcnya.so

Nothing...
telegram
twitter
github
email
ホームアーカイブ

防止 Censys があなたのソースIPを取得する

#Censys#防护#IP#Nginx#宝塔面板36
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
Censys是一款类似于Shodan的免费搜索引擎,由密歇根大学的研究人员开发,并由谷歌提供支持。它可以扫描整个互联网,搜索联网设备并收集相关信息。Censys的原理是每天扫描整个互联网,访问IP地址并记录与域名相关的信息。为了防止Censys的访问,可以使用iptables拉黑来阻止其访问。另外,通过在Nginx配置文件中添加ssl_reject_handshake on来拒绝Censys的SSL/TLS握手请求也是一种方法。此外,还可以套证书或在宝塔面板中开启HTTPS防窜站来解决问题。总的来说,通过以上方法可以避免Censys记录域名和源站IP的资产测绘。

Censys 紹介#

ハッカーやセキュリティ専門家は、Censys 検索エンジンという新しい強力な分析ツールを手に入れました。これは非常に人気のある検索エンジン Shodan と非常に似ています。Censys は無料の検索エンジンで、最初は 10 月にミシガン大学の研究者によってリリースされ、現在は Google がサポートしています。

Censys 検索エンジンはインターネット全体をスキャンすることができ、Censys は毎日 IPv4 アドレス空間をスキャンして、すべてのネットワーク接続デバイスを検索し、関連する情報を収集し、デバイス、ウェブサイト、および証明書の構成と展開に関する情報を含む総合レポートを返します。

Censys の公式ウェブサイトでは、次のようにこの検索エンジンを説明しています。「Censys は、インターネットを構成するデバイスとネットワークを理解するための検索エンジンです。Censys はインターネット全体のスキャンに基づいており、研究者が特定のホストを見つけ、デバイス、ウェブサイト、および証明書の構成と展開情報を総合的なレポートにまとめることができるようにします。」

原理#

Censys にドメイン名を入力すると、おおよその状況が表示されます。

![1][1]

その原理は非常にシンプルで、Censys は毎日インターネット全体をスキャンし、スキャンされたIP:443またはhttps://IPにアクセスします。IP に個別の証明書が設定されていない場合、アクセス結果はおおよそ次のようになります。

![2][2]

はい、彼らは直接あなたのドメイン名を漏らします。そして、Censys はその IP とこのドメイン名が関連していると判断し、それらを彼らのデータベースに記録します(CDN を使用していても、彼らは直接あなたのオリジンサーバーにアクセスします)。

防止#

iptables でブロックする#

以下は Censys が公開 / 非公開の IP 範囲です。安心してブロックしてください。

iptables -I INPUT -s 162.142.125.0/24 -j DROP

iptables -I INPUT -s 167.94.138.0/24 -j DROP

iptables -I INPUT -s 167.94.145.0/24 -j DROP

iptables -I INPUT -s 167.94.146.0/24 -j DROP

iptables -I INPUT -s 167.248.133.0/24 -j DROP

iptables -I INPUT -s 192.35.168.0/24 -j DROP

iptables -I INPUT -s 74.120.14.0/24 -j DROP

iptables-save

上記のコマンドをそのままコピーしてターミナルで実行してください。
他の用途が必要な場合、以下の内容をコピーするのに便利です。

162.142.125.0/24
167.94.138.0/24
167.94.145.0/24
167.94.146.0/24
167.248.133.0/24
192.35.168.0/24
74.120.14.0/24

注意:宝塔パネルを使用している場合、ポートルールを変更すると元の iptables ルールが上書きされるため、宝塔ファイアウォールの IP ルールにこれらの IP 範囲をブロックすることをお勧めします。もちろん、サービスプロバイダのファイアウォールでこれらの IP 範囲をブロックすることができる場合は、それがより良いです:::

Nginx の設定ファイル#

Nginx 1.19.4 以降、クライアントの SSL/TLS ハンドシェイクリクエストを拒否する機能が追加されました。Censys がサーバーの IP の 443 ポートにアクセスする際に SSL/TLS ハンドシェイクを拒否することができます。

宝塔パネルでデフォルトサイトを設定していない場合、または純粋な LNMP ユーザーの場合、Nginx のメイン設定ファイルに次の行を追加します。

server {
    listen 443 ssl default_server;
    ssl_reject_handshake on;
}

![3][3]

保存して Nginx を再起動します。

宝塔パネルでデフォルトサイトを設定した場合、デフォルトサイトの設定ファイルに次の行を追加する必要があります ssl_reject_handshake on;

![4][4]

警告:この操作により、デフォルトサイトがクライアントの SSL/TLS ハンドシェイクリクエストを拒否するようになります。デフォルトサイトを使用する必要がある場合は、この方法を使用しないでください:::

5

その後、ブラウザで IP にアクセスすると、次のようになります。

証明書を使用する#

4

自己署名証明書でも構いません、ただし、あなたのドメインと関係のないものである必要があります。最善の方法は、宝塔のウェブサイトでHTTPS防窜站を有効にすることです。

5

解決策#

3

これらの手順を完了した後、Censys で直接 IP を検索すると、次のようになります。これらの 3 つの方法を実行すると、ほとんどのアセットマッピングが回避され、あなたのドメイン名とオリジン IP が記録されなくなります。

追記#

また、私の経験によると、CDN を使用している場合は、CDN を設定する前にドメイン名を IP に解決しないようにしてください。そうしないと、特定のプラットフォームの IP 履歴に記録される可能性があります。

以上です。この内容が役に立つ場合は、いいね、コメント、共有、寄付をお願いします。

この記事はMix Spaceから xLog に同期されています。
元のリンクはhttps://blog.nekorua.com/posts/maintain/18.htmlです。

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。