网站使用CloudFlare CDN加速后防止Censys扫描到源站ip

  • A+
所属分类:CDN

教大家如何避免套CDN使用SSL被censys查找到源站IP,有一个坑爹的网站https://censys.io/。时刻在全网扫描激活的IP地址,然后利用nginx一个“漏洞”来检查IP对应的域名,并做了对应关系。如果服务器是nginx的web服务,可以直接通过https://ip地址来访问,默认调用了你的域名证书,导致被记录到IP,nginx会向浏览器发送默认的SSL证书,通过查看证书详情可以找到对应的域名。如果两厢匹配,那么你的站就被这个坑爹的censys.io给记录了,通过censys.io搜索域名或IP就能找到关联信息。

 

网站使用CloudFlare CDN加速后防止Censys扫描到源站ip

一、瞎填个IP解析

例如域名:moxiaojiu.com 设置A解析IP:104.27.132.71

设置第一次解析的ip一定要乱写,填写任意CF自己的节点ip

二、CF的SSL设置

Overview – 选择Full(全程模式)

Edge Certificates – Always Use HTTPS – on(强制跳转到HTTPS)

Origin Certificates – Create Certificate(创建一个自己的域名证书)

把创建的证书分别保存为pem和key,放到自己的服务器网站相关配置路径去

创建证书下面有个Authenticated Origin Pulls – On (开启证书身份验证)

三、改回正常解析ip

以下是坛友们的一些办法:

1.设置的防火墙只放行了cloudflare的ip

2.直接开个电磁炮

https://www.cloudflare.com/zh-tw/website-optimization/railgun/

就是麻烦点

3.故意用个域名不一样的证书

cf开full不要strict

bwg
小九

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: