网站套用Cloudflare CDN之后防止censys扫描源站ip

censys.io扫描ip这个功能的确强大,不过有开源的脚本,分分钟扫描全球ip4,但是对于用于网站的就不友好了。

censys能扫描到网站使用CDN之后的源站ip,我们也有很多个网站被泄漏了,但是今天全部重新整理、测试之后,发现就只有用cloudflare CDN的才会被扫描到,阿里云、腾讯云的CDN都扫描不到,当然这取决于你当时配置CDN的步骤,如果先开放了A解析,那同样能扫描到。比如这个博客域名www.jingxialai.com,能扫到的都是曾经套过cloudflare CDN的服务器ip。

网上搜索Cloudflare censys泄漏源站ip的资讯很多,相关教程也多,不过看了很多都是先自签ip证书,或者先弄个假证书,然后再替换回去。不过我们在通过第三方平台cname接入的时候,又发现了如果步骤顺序对了,censys同样也是可以扫描不到源站IP的。

最终实际测试了2台服务器、2个子域名,不同方式接入均不会被扫描到,相当于先走Cloudflare自签证书。

理论上以下过程不适用于已经泄露过网站ip的服务器,也就是如果之前同台服务器下有其他网站已经泄露了,那下面依旧可能扫到,如果这个时候还能扫到,就直接给服务器ip绑定个假证书,当然也可以一开始就上ip证书,只是有的人不知道怎么给服务器ip绑定证书。

一、接入域名之后随便解析

比如测试域名:test.jingxialai.com 设置A解析IP:172.69.22.128

就是这个第一次解析的ip乱写,填写Cloudflare自己的节点ip就行。

二、去SSL设置

  1. Overview - 选择Full(全程模式)
  2. Edge Certificates - Always Use HTTPS - on(强制跳转到HTTPS)
  3. Origin Certificates - Create Certificate(创建一个自己的域名证书)
  4. 把创建的证书分别保存为pem和key,放到自己的服务器网站相关配置路径去
  5. 创建证书下面有个Authenticated Origin Pulls - On (开启证书身份验证)

三、改回正常解析ip

现在就去把自己的域名解析,改到自己服务器真ip就行了,然后过几天再去censys.io测试看看有没有扫到。

网站套用Cloudflare CDN之后防止censys扫描源站ip

或者给自己服务器默认ip直接绑定个假证书。

如果不放心,就加强下安全规则,只允许Cloudflare的ip回源访问,把这里面的IP:https://www.cloudflare.com/ips/ 都加到服务器安全组的白名单,只允许访问80、443端口。同时不要开放0.0.0.0/0的80和443访问权限,服务器安全组这步可以最先做。

本站所有内容均为自己码的字,部分代码来源搜索,转载请个原文链接,谢谢~ | 联系我 | 服务器推荐 |

你可能喜欢