最近一个朋友,上了高防的CDN,最后还是被抓到源IP打的招架不住,后来问了问高防CDN的人,人家给出了个说法是要屏蔽censys的扫描,这样的能大大减少源IP泄露的风险,IDGlobal 这里也分享给大家,有备无患,看到的尽量就屏蔽一下哈。
Censys能搜索到域名对应的后端IP,它会扫描所有IP的80 8000 8080 443 4433端口,甚至会扫描https SSL域名证书,搜集到的信息再公布到网络上,很多黑客都是使用这玩意找到你的源站IP。
Censys自己也知道这样的情况,所以给出了屏蔽的选项,只要你屏蔽他的蜘蛛,就可以防止黑客使用Censys进行扫码。
我们以宝塔面板为例的话,在防火墙里面,禁止如下IP访问即可:
CIDR版本:
74.120.14.0/24
162.142.125.0/24
167.248.133.0/24
192.35.168.0/23
比如 IDGlobal 这么设置的:
ip段版本:
74.120.14.0 – 74.120.14.255
162.142.125.0 – 162.142.125.255
167.248.133.0 – 167.248.133.255
192.35.168.0 – 192.35.169.255
还有个比较方便的设置方式,那就是屏蔽Censys爬虫机器人user-agent
官方公布UA为:Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)
我们只需在宝塔nginx防火墙 – User-Agent过滤,添加Censys|即可。其中“|”为分隔符,也需要添加。