banner
libxcnya.so

libxcnya.so

Nothing...
telegram
twitter
github
email

防止 Censys があなたのソースIPを取得する

Censys 紹介#

ハッカーやセキュリティ専門家は、Censys 検索エンジンという新しい強力な分析ツールを手に入れました。これは非常に人気のある検索エンジン Shodan と非常に似ています。Censys は無料の検索エンジンで、最初は 10 月にミシガン大学の研究者によってリリースされ、現在は Google がサポートしています。

Censys 検索エンジンはインターネット全体をスキャンすることができ、Censys は毎日 IPv4 アドレス空間をスキャンして、すべてのネットワーク接続デバイスを検索し、関連する情報を収集し、デバイス、ウェブサイト、および証明書の構成と展開に関する情報を含む総合レポートを返します。

Censys の公式ウェブサイトでは、次のようにこの検索エンジンを説明しています。「Censys は、インターネットを構成するデバイスとネットワークを理解するための検索エンジンです。Censys はインターネット全体のスキャンに基づいており、研究者が特定のホストを見つけ、デバイス、ウェブサイト、および証明書の構成と展開情報を総合的なレポートにまとめることができるようにします。」

原理#

Censys にドメイン名を入力すると、おおよその状況が表示されます。

![1][1]

その原理は非常にシンプルで、Censys は毎日インターネット全体をスキャンし、スキャンされたIP:443またはhttps://IPにアクセスします。IP に個別の証明書が設定されていない場合、アクセス結果はおおよそ次のようになります。

![2][2]

はい、彼らは直接あなたのドメイン名を漏らします。そして、Censys はその IP とこのドメイン名が関連していると判断し、それらを彼らのデータベースに記録します(CDN を使用していても、彼らは直接あなたのオリジンサーバーにアクセスします)。

防止#

iptables でブロックする#

以下は Censys が公開 / 非公開の IP 範囲です。安心してブロックしてください。

iptables -I INPUT -s 162.142.125.0/24 -j DROP

iptables -I INPUT -s 167.94.138.0/24 -j DROP

iptables -I INPUT -s 167.94.145.0/24 -j DROP

iptables -I INPUT -s 167.94.146.0/24 -j DROP

iptables -I INPUT -s 167.248.133.0/24 -j DROP

iptables -I INPUT -s 192.35.168.0/24 -j DROP

iptables -I INPUT -s 74.120.14.0/24 -j DROP

iptables-save

上記のコマンドをそのままコピーしてターミナルで実行してください。
他の用途が必要な場合、以下の内容をコピーするのに便利です。

162.142.125.0/24
167.94.138.0/24
167.94.145.0/24
167.94.146.0/24
167.248.133.0/24
192.35.168.0/24
74.120.14.0/24

注意:宝塔パネルを使用している場合、ポートルールを変更すると元の iptables ルールが上書きされるため、宝塔ファイアウォールの IP ルールにこれらの IP 範囲をブロックすることをお勧めします。もちろん、サービスプロバイダのファイアウォールでこれらの IP 範囲をブロックすることができる場合は、それがより良いです:::

Nginx の設定ファイル#

Nginx 1.19.4 以降、クライアントの SSL/TLS ハンドシェイクリクエストを拒否する機能が追加されました。Censys がサーバーの IP の 443 ポートにアクセスする際に SSL/TLS ハンドシェイクを拒否することができます。

宝塔パネルでデフォルトサイトを設定していない場合、または純粋な LNMP ユーザーの場合、Nginx のメイン設定ファイルに次の行を追加します。

server {
    listen 443 ssl default_server;
    ssl_reject_handshake on;
}

![3][3]

保存して Nginx を再起動します。

宝塔パネルでデフォルトサイトを設定した場合、デフォルトサイトの設定ファイルに次の行を追加する必要があります ssl_reject_handshake on;

![4][4]

警告:この操作により、デフォルトサイトがクライアントの SSL/TLS ハンドシェイクリクエストを拒否するようになります。デフォルトサイトを使用する必要がある場合は、この方法を使用しないでください:::

5

その後、ブラウザで IP にアクセスすると、次のようになります。

証明書を使用する#

4

自己署名証明書でも構いません、ただし、あなたのドメインと関係のないものである必要があります。最善の方法は、宝塔のウェブサイトでHTTPS防窜站を有効にすることです。

5

解決策#

3

これらの手順を完了した後、Censys で直接 IP を検索すると、次のようになります。これらの 3 つの方法を実行すると、ほとんどのアセットマッピングが回避され、あなたのドメイン名とオリジン IP が記録されなくなります。

追記#

また、私の経験によると、CDN を使用している場合は、CDN を設定する前にドメイン名を IP に解決しないようにしてください。そうしないと、特定のプラットフォームの IP 履歴に記録される可能性があります。

以上です。この内容が役に立つ場合は、いいね、コメント、共有、寄付をお願いします。

この記事はMix Spaceから xLog に同期されています。
元のリンクはhttps://blog.nekorua.com/posts/maintain/18.htmlです。


読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。