【教程】【防护】教你简单防护被censys.io泄露的源站ip。。

ukmg

起因

有大佬谈论到，套了cdn的网站源ip的查询方法。其中提到censys.io。 输入网址可以直接查询到原站IP。

查了下自己两台小鸡都显示了源ip。感谢@dalaoa 大佬指导的方法用于简单防护，这里分享出来。。




1.原理


我们建站源站若使用了ssl. 那么直接访问，https://源站ip. 就可以得到我们网址，以及证书。

这样就间接确定了，我们网站的域名以及真实ip.   censys.io通过扫描 ip地址来得到域名从而暴露源站 ip.


2.防护

只要访问我们的ip,不暴露真实证书就可以了。



↓↓以下是教程↓↓


a.宝塔新建一个网站，域名为自己真实的ip地址





b.添加假的ssl证书。

这里提供一份空白的。感谢 @dansnow  大佬签发的空白证书


证书触发了关键词河蟹打不出来，直接下载附件吧。。



填写证书。保存。强制https




b.整站404。

1.     location / {
   
2.         return 404;
   
3.     }

复制代码

3.确认效果

没有暴露证书及域名即可。



4.补充解释

添加这个ip域名的网站，只针对443 和80端口， 其他端口功能不会受影响。

使用测试后遇到一个小bug, 添加ip作为域名后，
使用别的小鸡反代自己的网站真实ip也反代不了。可能是ip域名优先度比较高吧。有了解的大佬也可以补充下。

4.最后


以上教程感谢论坛大佬的指导了，如果有什么问题欢迎指正。
不过套cf的要是自己网站被搞，打的太厉害还是回源的。

xuhao0080

Firewalld 加源站访问限制

Centos:

1. yum install firewalld(如果有就不用装了)

2. cd /etc/firewalld/zones/

3. vi cfrules.xml

粘贴以下代码
详细请参考 https://www.cloudflare.com/ips/ 回源IP列表
可能会有更新 按照其他一样加上就可以了

1. <zone>
   
2.   <source address="173.245.48.0/20"/>
   
3.   <source address="103.21.244.0/22"/>
   
4.   <source address="103.22.200.0/22"/>
   
5.   <source address="103.31.4.0/22"/>
   
6.   <source address="141.101.64.0/18"/>
   
7.   <source address="108.162.192.0/18"/>
   
8.   <source address="190.93.240.0/20"/>
   
9.   <source address="188.114.96.0/20"/>
   
10.   <source address="197.234.240.0/22"/>
    
11.   <source address="198.41.128.0/17"/>
    
12.   <source address="162.158.0.0/15"/>
    
13.   <source address="104.16.0.0/12"/>
    
14.   <source address="172.64.0.0/13"/>
    
15.   <source address="131.0.72.0/22"/>
    
16.   <port protocol="tcp" port="80"/>
    
17.   <port protocol="tcp" port="443"/>
    
18. </zone>

复制代码

4. firewall-cmd --reload
如显示success则成功。

防止回源可以试试
https://cdn.kevsrv.com
CNAME CDN
指定CloudFlare CNAME的IP 理论上就不会回源了

套个CF自签证书完事

dovis

安全组配合 https://www.cloudflare.com/ips     这个的ip列表，只允许下列ip 访问 80 443 ，然后0.0.0.0/0 tcp:80,443 拒绝 在最下一行 放行白名单列在上面如下，cf 的博客还有相关安全设置conf 的看看弄一下就是
173.245.48.0/20           TCP:80,443        允许          
0.0.0.0/0                        TCP:443,80        拒绝       

cangshui

方法：不用nginx  输入ip设置跳转其他网站  此贴完结

jackz3

我白名单cf 其他全禁止了

jshkk

非http咋弄 ？

ccf

jackz3 发表于 2019-5-9 18:00
我白名单cf 其他全禁止了

这个看起来不错

myseil

这个可以试试！

nk123

就冲你这分享精神，给你个赞！

Gobala

感谢大佬分享技术教程

ukmg

jshkk 发表于 2019-5-9 18:00
非http咋弄 ？

非http应该不会暴露吧