Censys 簡介#
黑客和安全專家們擁有了一款新型強大的分析工具,那就是 Censys 搜索引擎,與最流行的搜索引擎 Shodan 非常類似。Censys 是一款免費的搜索引擎,最初由密歇根大學的研究人員在 10 月發行,目前由谷歌提供支持。
Censys 搜索引擎能夠掃描整個互聯網,Censys 每天都會掃描 IPv4 地址空間,以搜索所有聯網設備並收集相關的信息,並返回一份有關資源(如設備、網站和證書)配置和部署信息的總體報告。
Censys 官方網站上這樣描述該搜索引擎:“Censys 是一款搜索引擎,它允許計算機科學家了解組成互聯網的設備和網絡。Censys 由因特網範圍掃描驅動,它使得研究人員能夠找到特定的主機,並能夠針將設備、網站和證書的配置和部署信息創建到一個總體報告中。”
原理#
我們在 Censys 上隨便輸入一個域名大概就會看到以下情景
![1][1]
其原理很簡單,Censys 每天都會掃描整個互聯網,訪問掃描的 IP:443,或者說 https://IP,如果你沒有給 IP 單獨設置一個證書,訪問結果大概會是這樣
![2][2]
是的,他會直接漏出你的域名,然後 Censys 就會認為該 IP 和這個域名有關係,從而記錄在他們的數據庫中(就算你套 CDN 也沒鳥用,人家直接對你源站下手了)
防止#
iptables 拉黑#
以下是 Censys 已公開 / 未公開的 IP 段,放心拉黑即可
iptables -I INPUT -s 162.142.125.0/24 -j DROP
iptables -I INPUT -s 167.94.138.0/24 -j DROP
iptables -I INPUT -s 167.94.145.0/24 -j DROP
iptables -I INPUT -s 167.94.146.0/24 -j DROP
iptables -I INPUT -s 167.248.133.0/24 -j DROP
iptables -I INPUT -s 192.35.168.0/24 -j DROP
iptables -I INPUT -s 74.120.14.0/24 -j DROP
iptables-save
將以上命令直接複製粘貼到終端中運行即可
如果你需要其他用途,以下內容便於複製
162.142.125.0/24
167.94.138.0/24
167.94.145.0/24
167.94.146.0/24
167.248.133.0/24
192.35.168.0/24
74.120.14.0/24
注意:如果你使用了寶塔面板,在寶塔面板中修改端口規則會覆蓋掉原來的 iptables 規則,所以建議在寶塔防火牆的 IP 規則中也將這些 IP 段拉黑,當然你如果的服務商防火牆支持的話,在服務商防火牆中拉黑這些 IP 段更好:::
Nginx 配置文件#
在 Nginx 1.19.4 之後更新了一個 feature,他可以拒絕客戶端的 SSL/TLS 握手請求,我們可以在讓 Censys 在訪問服務器 IP 的 443 端口時拒絕進行 SSL/TLS 握手
如果你沒有在寶塔面板裡面設置默認站點 / 你是純 LNMP 用戶,在 Nginx 的主配置文件中加入
server {
listen 443 ssl default_server;
ssl_reject_handshake on;
}
![3][3]
然後保存並重啟 Nginx
如果你在寶塔面板裡面設置了默認站點,則需要在你的默認站點配置文件中差不多這個位置加入一行 ssl_reject_handshake on;
![4][4]
警告:該操作會導致默認站點拒絕客戶端的 SSL/TLS 握手請求,如果你有需求用到默認站點,請勿使用該方法:::
之後用瀏覽器訪問你的 IP 就會是這個樣子
套證書#
自簽一個也是可以的,只要與你的域名不相關就行
最好是去寶塔的網站裡面把HTTPS防窜站給開開
解決#
做完這些之後用 Censys 直接搜你的 IP,就會是這個樣子了
做到以上三種方法能避開大部分的資產測繪記錄你的域名和你的源站 IP
後記#
另外根據我的經驗,如果你套 CDN,就千萬不要在套 CDN 之前把你的域名解析到你的 IP,不然稍有不慎就會被某些平台的 IP History 記錄
大概就這樣了,如果我的內容對你有幫助,歡迎點贊 評論 轉發 打賞謝謝喵
此文由 Mix Space 同步更新至 xLog
原始鏈接為 https://blog.nekorua.com/posts/maintain/18.html