如何屏蔽Censys搜索引擎

2024-01-17 0 1,640

前言：

考虑到目前国内网站的安全防护需求，Meeting Station 强烈建议您屏蔽搜索引擎 Censys，因为搜索引擎 Censys 可以扫描整个互联网。Censys 每天扫描 IPv4 地址空间以搜索所有联网设备并收集相关信息，并返回关于资源（如设备、网站和证书）的配置和部署信息的一般报告。Censys 维护着一个完整的数据库，其中保存着互联网上暴露的每台设备的信息。对于一个别有用心的人来说，如果他想搜索特定的目标，并需要收集有关目标配置的信息，那么 Censys 无疑是他的特权工具。至少，接收器可以确定潜伏在各个社区的那些老鼠屎将使用 Censys 快速获取目标站点服务器的 IP 以进行恶意 DDos/CC 攻击，从而推广海外高防御服务器和高防御 cdn 以获利。一旦他们购买了由老鼠粪便推广的高防御，他们只能被屠杀，一旦他们不续费，DDos/CC 攻击将继续。

如何屏蔽 `Censys`

目前，由 sink 站测量的屏蔽 Censys 的方法主要是 UA 拦截，ASN 和 IP 地址段屏蔽，效果仍然很好。如果三种方法能配合使用，效果会更好。建议大家使用 CDN 的 WAF 进行屏蔽，可以很好地隐藏服务器的真实 IP。如果你不使用 CDN，你至少应该在宝塔防火墙或Nginx处屏蔽它。使用基于Linux内核的 iptables/FireWalld 防火墙屏蔽 IP 地址段也是一种推荐的方法。

`UA` 拦截屏蔽

你可以在宝塔防火墙中阻止 Censys 的 UA，只需返回 444 或404即可。Censys 的完整 UA 如下:Mozilla/5.0（兼容；CensysInspect/1.1；+https://about.censys.io/）也可以在 Nginx 中拦截:使用 Nginx 的变量$http_user_agent 模糊拦截包含 CensysInspect 的 UA。有关详细信息，请参见以下内容:


if($http_user_agent~(CensysInspect|Semrushbot|Scrapy|Curl|HttpClient)){

return 404;

}

您可以将上述代码放在 Nginx 站点的服务器块中，如果没有防火墙，则可以通过这种方式拦截宝塔。

`IP` 地址段拦截掩码

UA 拦截不能保证 100%准确，所以最好屏蔽掉 Censys 目前已经公开的 IP 地址段，sink 收集的所有信息如下:


74.120.14.0/24
192.35.168.0/24
167.248.133.0/24
167.94.146.0/24
167.94.145.0/24
167.94.138.0/24
162.142.125.0/24

理论上 Nginx 也可以拦截屏蔽 IPv4 和IPv6地址段，但是上交 Nginx 并不安全。因此，建议基于 Linux 内核的 iptables/FireWalld 是最好的阻止和拦截方式，最好直接禁止这些 IP 地址段扫描所有服务器端口。以 iptables 为例，具体命令如下:


iptables-I INPUT-s 74.120.14.0/24-j DROP
iptables-I INPUT-s 192.35.168.0/24-j DROP
iptables-I INPUT-s 167.248.133.0/24-j DROP
iptables-I INPUT-s 167.94.146.0/24-j DROP
iptables-I INPUT-s 167.94.145.0/24-j DROP
iptables-I INPUT-s 167.94.138.0/24-j DROP
iptables-I INPUT-s 162.142.125.0/24-j DROP

如果不擅长 Linux 命令行操作，可以在宝塔中黑掉这些 IP 地址段。宝塔默认使用的 FireWalld 防火墙也非常好。如果您的网站使用 CDN，只需将上述 IP 地址段添加到 CDN WAF 的黑名单中即可，甚至可以在 CDN 统计的帮助下获得 Censys 扫描您的网站服务器的时间和方式。

`ASN` 拦截屏蔽

ASN 是一个自治系统号。在互联网中，自治系统（AS）是一个小单元，它有权决定在该系统中应采用何种路由协议。这个网络单元可以是一个简单的网络或由一个或多个普通网络管理员控制的网络组。它是单个可管理的网络单元（如大学、企业或个人公司）。自治系统有时被称为路由域。自治系统将被分配一个全球唯一的编号，该编号有时被称为自治系统编号（ASN）。Censys 的 ASN 编号为 AS398722。从理论上讲，ASN 拦截和屏蔽应该是最全面和可靠的，但目前国内支持 ASN 的 CDN 很少，并且在 Nginx 和 Linux 下拦截 ASN 也很复杂，因此需要选择一个支持 ASN 的 CDN 进行 ASN 拦截和屏蔽，例如 CloudFlare。

注：上述三种拦截屏蔽 Censys 都可以在 CloudFlare——安全性——WAF——工具里进行设置，不用创建单独的 WAF 规则的。

转载请注明：汇站网 » 如何屏蔽 Censys 搜索引擎

赏

微信扫一扫

支付宝扫一扫

免责声明

本资源仅用于个人学习和研究使用，禁止用于任何商业环境！

1.  本网站名称：汇站网
2.  本站永久网址：https://www.huizhanii.com/
3.  本站所有资源来源于网友投稿和高价购买，所有资源仅对编程人员及源代码爱好者开放下载做参考和研究及学习，本站不提供任何技术服务！
4.  本站所有资源的展示图片和信息不代表本站的立场！本站只是储蓄平台及搬运
5.  下载者禁止在服务器和虚拟机下进行搭建运营，本站所有资源不支持联网运行！只允许调试，参考和研究！！！！
6.  未经原版权作者许可,禁止用于任何商业环境，任何人不得擅作它用，下载者不得用于违反国家法律，否则发生的一切法律后果自行承担！
7.  为尊重作者版权，请在下载24小时内删除！请购买原版授权作品，支持你喜欢的作者，谢谢！
8.  若资源侵犯了您的合法权益，请持您的版权证书和相关原作品信息来信通知我们请来信     我们会及时删除，给您带来的不便，我们深表歉意！
9.  如下载链接失效、广告或者压缩包问题请联系站长处理！
10.  如果你也有好源码或者教程，可以发布到网站，分享有金币奖励和额外收入！
11.  本站资源售价只是赞助，收取费用仅维持本站的日常运营所需！
12.  因源码具有可复制性，一经赞助，不得以任何形式退款。
13.  更多详情请点击查看

汇站网技术分享如何屏蔽Censys搜索引擎 https://www.huizhanii.com/34440.html