banner
libxcnya.so

libxcnya.so

Nothing...
telegram
twitter
github
email
ホームアーカイブ

防止 Censys があなたのソースIPを取得する

#Censys#防护#IP#Nginx#宝塔面板114
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
Censys 是一款类似于 Shodan 的免费搜索引擎,由密歇根大学研究人员开发并得到谷歌支持。它能够扫描整个互联网,搜索设备和网络信息,并提供总体报告。用户可以通过拉黑特定 IP 段或在 Nginx 中设置拒绝 SSL/TLS 握手来防止 Censys 记录域名和源站 IP。通过这些方法可以避免资产测绘记录。

Censys 紹介#

ハッカーやセキュリティ専門家は、Censys 検索エンジンという新しい強力な分析ツールを手に入れました。これは非常に人気のある Shodan 検索エンジンに非常に似ています。Censys は無料の検索エンジンで、最初は 10 月にミシガン大学の研究者によってリリースされ、現在は Google がサポートしています。

Censys 検索エンジンはインターネット全体をスキャンすることができ、Censys は毎日 IPv4 アドレス空間をスキャンして、すべてのネットワーク接続デバイスを検索し、関連する情報を収集し、デバイス、ウェブサイト、および証明書の構成と展開に関する情報を含む総合レポートを返します。

Censys の公式ウェブサイトでは、次のようにこの検索エンジンを説明しています。「Censys は、インターネットを構成するデバイスとネットワークを理解するための検索エンジンです。Censys はインターネット全体のスキャンによって駆動され、研究者が特定のホストを見つけ、デバイス、ウェブサイト、および証明書の構成と展開情報を総合的なレポートに作成することができます」。

原理#

Censys に任意のドメイン名を入力すると、おおよその状況が表示されます。

![1][1]

その原理は非常に単純です。Censys は毎日インターネット全体をスキャンし、スキャンされたIP:443またはhttps://IPにアクセスします。IP に個別の証明書を設定していない場合、アクセス結果はおおよそ以下のようになります。

![2][2]

はい、それは直接あなたのドメイン名を漏らします。そして、Censys はその IP とこのドメイン名が関連していると見なし、それらをデータベースに記録します(CDN を使用していても、それは関係ありません、彼らは直接あなたのオリジンサーバーにアクセスします)。

防止#

iptables でブロックする#

以下は Censys が公開 / 非公開の IP 範囲です。安心してブロックしてください。

iptables -I INPUT -s 162.142.125.0/24 -j DROP

iptables -I INPUT -s 167.94.138.0/24 -j DROP

iptables -I INPUT -s 167.94.145.0/24 -j DROP

iptables -I INPUT -s 167.94.146.0/24 -j DROP

iptables -I INPUT -s 167.248.133.0/24 -j DROP

iptables -I INPUT -s 192.35.168.0/24 -j DROP

iptables -I INPUT -s 74.120.14.0/24 -j DROP

iptables-save

上記のコマンドをそのままコピーしてターミナルで実行してください。
他の用途が必要な場合は、以下の内容をコピーしてください。

162.142.125.0/24
167.94.138.0/24
167.94.145.0/24
167.94.146.0/24
167.248.133.0/24
192.35.168.0/24
74.120.14.0/24

注意:宝塔パネルを使用している場合、ポートルールを変更すると元の iptables ルールが上書きされるため、宝塔ファイアウォールの IP ルールにもこれらの IP 範囲をブロックすることをお勧めします。もちろん、サービスプロバイダのファイアウォールでこれらの IP 範囲をブロックすることができる場合は、サービスプロバイダのファイアウォールでこれらの IP 範囲をブロックする方が良いです:::

Nginx の設定ファイル#

Nginx 1.19.4 以降、クライアントの SSL/TLS ハンドシェイクリクエストを拒否する機能が追加されました。Censys がサーバーの IP の 443 ポートにアクセスする際に SSL/TLS ハンドシェイクを拒否するために、Nginx のメイン設定ファイルに次の行を追加します。

server {
    listen 443 ssl default_server;
    ssl_reject_handshake on;
}

![3][3]

保存して Nginx を再起動してください。

宝塔パネルでデフォルトサイトを設定している場合は、デフォルトサイトの設定ファイルに次の行を追加する必要があります。

ssl_reject_handshake on;

![4][4]

警告:この操作により、デフォルトサイトはクライアントの SSL/TLS ハンドシェイクリクエストを拒否するようになります。デフォルトサイトを使用する必要がある場合は、この方法を使用しないでください:::

5

その後、ブラウザで IP にアクセスすると、次のようになります。

証明書を使用する#

4

自己署名証明書でも構いません、ただし、ドメイン名と関連性がないことが重要です。最善の方法は、宝塔のウェブサイトでHTTPS防窜站を有効にすることです。

5

解決#

3

これらの手順を完了した後、Censys で直接 IP を検索すると、次のようになります。これらの 3 つの方法を実行すると、ほとんどのアセットマッピングが回避され、あなたのドメイン名とオリジン IP が記録されなくなります。

追記#

また、私の経験に基づいて言えば、CDN を使用している場合は、CDN を使用する前にドメイン名を IP に解決しないようにしてください。そうしないと、一部のプラットフォームの IP 履歴に記録される可能性があります。

以上です。このコンテンツが役に立った場合は、いいね、コメント、共有、寄付をお願いします。

この記事はMix Spaceから xLog に同期されました。
元のリンクはhttps://blog.nekorua.com/posts/maintain/18.htmlです。

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。