屏蔽Censys扫描你CND后的真实IP

取个什么名好呢

上一篇文章讲到，可以通过一条命令就暴露你在CDN后面隐藏的IP和域名：

1. curl -v -k https://35.186.1.1

复制代码

上文：https://bbs.111111.online/d/439

没错，今天讲的 Censys 这个网站就是利用这个原理，扫描整个互联网的IP，然后暴露出你的真实域名和IP，即便你套了CDN，网站如下：

https://censys.io/ipv4

上文也讲到可以通过打nginx补丁解决这个问题，俺们还可以通过屏蔽Censys的IP段和爬虫解决这个问题。

Censys官方给的IP段和UA：

https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Scanning

具体操作，NGINX上，server字段屏蔽censys爬虫就好了：

1.         if ($http_user_agent ~* "^(?=.*censys)") {
   
2.             return 444;
   
3.         }

复制代码

或者直接屏蔽censys的IP段：

1. deny 2620:96:e000:b0cc:e::/64;
   
2. deny 162.142.125.0/24;
   
3. deny 167.94.138.0/24;
   
4. deny 167.94.145.0/24;
   
5. deny 167.94.146.0/24;
   
6. deny 167.248.133.0/24;
   
7. deny 192.35.168.0/23;

复制代码

如果你套了Cloudflare 的 CDN，你可以在防火墙，工具里屏蔽上面IP段，或者在工具，用户代理阻止里，创建一个阻止规则，如下：

1. Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

复制代码

原文：https://bbs.111111.online/d/690

TulvL

这种做法只防一家，关键是阻止nginx在servername不对的情况下返回有效证书

比如 ssl_reject_handshake on;

https://www.codedodle.com/disable-direct-ip-access-nginx.html

Zeros

感谢分享干货

这是最好的年代

也可以只给CDN的IP开白名单，屏蔽所有名单外的IP

CF的IP列表在这：https://www.cloudflare.com/ips/

110e

是么，但是我的小站依然抗揍

取个什么名好呢

TulvL 发表于 2021-12-7 22:59
这种做法只防一家，关键是阻止nginx在servername不对的情况下返回有效证书

比如 ssl_reject_handshake on; ...

上一篇文章讲的就是
ssl_reject_handshake on;

micms

mark大佬的干货

TulvL

取个什么名好呢 发表于 2021-12-7 23:02
上一篇文章讲的就是
ssl_reject_handshake on;

我是说这种问题要么ssl_reject_handshake on，要么自签证书给默认server，要么给CDN的IP开白名单。直接user_agent屏蔽censys比较少见。因为这只防君子不防小人。

cangshui

真想弄你直接带HOST头域名扫Ip,扫完全段快的也就几天，最合适的办法是nginx只允许CDN的IP访问其他的IP访问直接403