如何防止Censys扫描网站源IP

发布时间：2024-01-04  栏目：调试安装   浏览：   分类：

要防止Censys扫描网站源IP，可以采取以下措施： 1. 使用CDN服务，将网站内容分发到多个服务器上，使攻击者难以确定源IP。 2. 使用HTTPS协议，加密通信内容，防止中间人攻击。 3. 使用防火墙和入侵检测系统（IDS），监控网络流量，阻止恶意扫描。 4. 限制外部访问，只允许信任的IP地址访问网站。 5. 定期更新操作系统和软件，修复已知的安全漏洞。

Censys介绍

Censys是一个IP搜索引擎，扫描收集和分析整个互联网的IP网络设备和服务的信息。针对不同的协议和服务执行各种查询，从而获取有关这些设备和服务的详细信息。

尽管你的网站套了CDN，Censys也有可能扫描出你的服务器暴露出你真实源IP。所以为了保护你的网站服务器安全运行，有必要直接在服务器内屏蔽防止Censys扫描到你的网站源IP。

屏蔽Censys的IP段和爬虫

Censys官方给的IP段和UA：https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Scanning

具体操作，以Nginx为例：

server字段屏蔽censys爬虫

if($http_user_agent~*"^(?=.*censys)"){return444;}

或者直接屏蔽censys的IP段：

162.142.125.0/24167.94.138.0/24167.94.145.0/24167.94.146.0/24167.248.133.0/242602:80d:1000:b0cc:e:/802620:96:e000:b0cc:e:/80

如果你使用 Cloudflare 的 CDN，你可以在防火墙，工具里屏蔽上面IP段，或者在工具，用户dai理阻止里，创建一个阻止规则，如下：

Mozilla/5.0(compatible;CensysInspect/1.1;

给IP地址访问创建单独的页面

以Nginx为例：

server{listen80;server_name183.3.226.35;location/{roothtml;indexindex.htmlindex.htm;}error_page404/404.html;error_page500502503504/50x.html;location=/50x.html{roothtml;}server{listen443ssl;server_name183.3.226.35;ssl_certificatecert1.pem;ssl_certificate_keycert1.key;ssl_session_cacheshared:SSL:1m;ssl_session_timeout5m;ssl_ciphersHIGH:!aNULL:!MD5;ssl_prefer_server_cipherson;location/{roothtml;indexindex.htmlindex.htm;}}

https访问时的SSL证书自签名一个IP证书，或者随便找一个其他的证书使用，只要不会反回你的真实域名即可。

这样当Censys扫描你的IP（183.3.226.35）时，无论是80还是443端口，均无法获取到你的域名信息了。也就达到了屏蔽其扫描的目的。