Censys 简介#
黑客和安全专家们拥有了一款新型强大的分析工具,那就是 Censys 搜索引擎,与最流行的搜索引擎 Shodan 非常类似。Censys 是一款免费的搜索引擎,最初由密歇根大学的研究人员在 10 月发行,目前由谷歌提供支持。
Censys 搜索引擎能够扫描整个互联网,Censys 每天都会扫描 IPv4 地址空间,以搜索所有联网设备并收集相关的信息,并返回一份有关资源(如设备、网站和证书)配置和部署信息的总体报告。
Censys 官方网站上这样描述该搜索引擎:“Censys 是一款搜索引擎,它允许计算机科学家了解组成互联网的设备和网络。Censys 由因特网范围扫描驱动,它使得研究人员能够找到特定的主机,并能够针将设备、网站和证书的配置和部署信息创建到一个总体报告中。”
原理#
我们在 Censys 上随便输入一个域名大概就会看到以下情景
![1][1]
其原理很简单,Censys 每天都会扫描整个互联网,访问扫描的 IP:443,或者说 https://IP,如果你没有给 IP 单独设置一个证书,访问结果大概会是这样
![2][2]
是的,他会直接漏出你的域名,然后 Censys 就会认为该 IP 和这个域名有关系,从而记录在他们的数据库中(就算你套 CDN 也没鸟用,人家直接对你源站下手了)
防止#
iptables 拉黑#
以下是 Censys 已公开 / 未公开的 IP 段,放心拉黑即可
iptables -I INPUT -s 162.142.125.0/24 -j DROP
iptables -I INPUT -s 167.94.138.0/24 -j DROP
iptables -I INPUT -s 167.94.145.0/24 -j DROP
iptables -I INPUT -s 167.94.146.0/24 -j DROP
iptables -I INPUT -s 167.248.133.0/24 -j DROP
iptables -I INPUT -s 192.35.168.0/24 -j DROP
iptables -I INPUT -s 74.120.14.0/24 -j DROP
iptables-save
将以上命令直接复制粘贴到终端中运行即可
如果你需要其他用途,以下内容便于复制
162.142.125.0/24
167.94.138.0/24
167.94.145.0/24
167.94.146.0/24
167.248.133.0/24
192.35.168.0/24
74.120.14.0/24
注意:如果你使用了宝塔面板,在宝塔面板中修改端口规则会覆盖掉原来的 iptables 规则,所以建议在宝塔防火墙的 IP 规则中也将这些 IP 段拉黑,当然你如果的服务商防火墙支持的话,在服务商防火墙中拉黑这些 IP 段更好:::
Nginx 配置文件#
在 Nginx 1.19.4 之后更新了一个 feature,他可以拒绝客户端的 SSL/TLS 握手请求,我们可以在让 Censys 在访问服务器 IP 的 443 端口时拒绝进行 SSL/TLS 握手
如果你没有在宝塔面板里面设置默认站点 / 你是纯 LNMP 用户,在 Nginx 的主配置文件中加入
server {
listen 443 ssl default_server;
ssl_reject_handshake on;
}
![3][3]
然后保存并重启 Nginx
如果你在宝塔面板里面设置了默认站点,则需要在你的默认站点配置文件中差不多这个位置加入一行 ssl_reject_handshake on;
![4][4]
警告:该操作会导致默认站点拒绝客户端的 SSL/TLS 握手请求,如果你有需求用到默认站点,请勿使用该方法:::
之后用浏览器访问你的 IP 就会是这个样子
套证书#
自签一个也是可以的,只要与你的域名不相关就行
最好是去宝塔的网站里面把HTTPS防窜站给开开
解决#
做完这些之后用 Censys 直接搜你的 IP,就会是这个样子了
做到以上三种方法能避开大部分的资产测绘记录你的域名和你的源站 IP
后记#
另外根据我的经验,如果你套 CDN,就千万不要在套 CDN 之前把你的域名解析到你的 IP,不然稍有不慎就会被某些平台的 IP History 记录
大概就这样了,如果我的内容对你有帮助,欢迎点赞 评论 转发 打赏谢谢喵
此文由 Mix Space 同步更新至 xLog
原始链接为 https://blog.nekorua.com/posts/maintain/18.html