如何屏蔽censys查询

前言

上期我们讲了绕过CDN查询源IP，这期讲屏蔽censys查询

接入CDN以后还能被查到源站IP呢，常见的情况有几种例如：接入CDN以前解析过源站IP（被查到了历史解析记录） 本地发邮件源IP会被抓包（建议使用465端口加密传输）censys 也就是接下来咱们要讲的

都知道Censys能搜索到域名对应的后端IP。原理也很简单，它会扫描所有IP的80 8000 8080 443 4433端口。甚至会扫描https SSL域名证书。搜集到的信息再公布到网络上。攻击者大部分使用这个方法找到你的源站IP。

那么如何屏蔽censys查源呢？方法也很简单，因官网提供了方法。只要屏蔽他们的扫描IP即可屏蔽Censys

IPCIDR版本

74.120.14.0/24

162.142.125.0/24

167.248.133.0/24

192.35.168.0/23

ip段版本

74.120.14.0 – 74.120.14.255

162.142.125.0 – 162.142.125.255

167.248.133.0 – 167.248.133.255

192.35.168.0 – 192.35.169.255

屏蔽教程

方法一、宝塔面板安全选项，添加CIDR版本为屏蔽IP,同时可以通过打nginx补丁解决这个问题，我们还可以通过屏蔽Censys的IP段和爬虫解决这个问题。Censys官方给的IP段和UA：https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Scanning

方法二、IP段难免会随时更新，那么还有一种办法具体操作，NGINX上，server字段屏蔽censys爬虫即可

if <strong>(</strong>$http_user_agent <strong>~*</strong> "^(?=.*censys)"<strong>)</strong> <strong>{</strong>            <strong>return</strong> 444;        <strong>}</strong>

方法三、如果你套了Cloudflare 的 CDN，你可以在防火墙，工具里屏蔽上面IP段，或者在工具，用户代理阻止里，创建一个阻止规则

Mozilla/5.0 <strong>(</strong>compatible; CensysInspect/1.1; +https://about.censys.io/)

---