做了防护，censys还是把源站IP暴露了

igoogle · 发表于 2023-6-7 21:33:34

之前就注意到了censys暴露IP的问题，看到论坛讨论也很多了，

所以后面建站，都会在vps上用IP自签一个证书，default_server 443、80端口，都指向这个IP站，并且返回444错误；
但是后来发现，censys还是把源站IP都暴露出来了，几个vps上的站都暴露了。。

但是我用 curl -v -k https://IP，并没有暴露域名啊，
不知道censys到底是怎么扫出来了。。

现在全部改成了 ssl_reject_handshake on 了，
准备再加一层iptables白名单，
不知道还会不会暴露。。

iptables白名单对于有的时候需要本地直接连IP的时候，还是很不方便。。

DushuAPP · 发表于 2023-6-7 23:26:05

igoogle 发表于 2023-6-7 23:20
cf 80端口回源？

有何不妥。

igoogle · 发表于 2023-6-7 22:02:53

惨，mjj都不关注技术问题吗

闻风听雨 · 发表于 2023-6-7 22:05:06

首先没用过censys，不知道是啥，其次暂时没有源站泄露的烦恼

facebook · 发表于 2023-6-7 22:10:06

它才不管你是不是自签的，只要扫出来一个IP上的证书和你这个套了CDN之后的域名证书一样，那这个IP就是源站。
直接屏蔽censys的爬虫IP就可以了。

igoogle · 发表于 2023-6-7 22:15:20

facebook 发表于 2023-6-7 22:10
它才不管你是不是自签的，只要扫出来一个IP上的证书和你这个套了CDN之后的域名证书一样，那这个IP就是源站 ...

关键IP证书是自签的，域名都是cloudflare cdn的证书，都不会一样啊。。
也对应不起来啊。。

makazeu · 发表于 2023-6-7 22:18:27

自签证书只是浏览器提示不安全而已，还是能正常访问的。

我用a.com作为host 去请求你的源站IP的https，如果返回了a.com自签证书，那么就可以对应上了

igoogle · 发表于 2023-6-7 22:51:11

makazeu 发表于 2023-6-7 22:18
自签证书只是浏览器提示不安全而已，还是能正常访问的。

我用a.com作为host 去请求你的源站IP的https，如 ...

用a.com作为host 去请求你的源站IP的https

这个是啥意思，大佬。。

DushuAPP · 发表于 2023-6-7 22:56:46

源站不开https，用cf的就好了。

igoogle · 发表于 2023-6-7 23:20:27

DushuAPP 发表于 2023-6-7 22:56
源站不开https，用cf的就好了。

cf 80端口回源？

		自动登录	找回密码
密码			注册

做了防护，censys还是把源站IP暴露了

浏览过的版块