你的网站源站IP正在被24小时不间断扫描,黑客可能已经拿到了你的服务器信息!
你是否经常在服务器日志中看到来自一些陌生IP的扫描请求?是否担心源站IP被泄露导致DDoS攻击?事实上,Censys这样的搜索引擎每天都在扫描整个互联网,收集所有联网设备的详细信息。
别担心,今天就来教你如何用阿里云安全组屏蔽Censys扫描,保护你的服务器安全。这种方法简单易行,不需要复杂的防火墙配置,只需3步就能完成!
为什么要屏蔽Censys扫描?
Censys是一款强大的搜索引擎,它每天扫描IPv4地址空间,收集所有联网设备的配置信息,并生成详细的报告。虽然官方声称这是用于安全研究,但黑客同样可以利用这些信息来发现你的源站IP地址、开放端口、SSL证书信息等敏感数据。
一旦你的源站IP被恶意攻击者获取,他们可以对你发动DDoS攻击、CC攻击或尝试入侵你的服务器。通过屏蔽Censys的扫描活动,你可以大大降低服务器信息泄露的风险。
如何用阿里云安全组屏蔽Censys扫描
阿里云的安全组是一种虚拟防火墙,可以对进出云服务器的数据流进行精准控制。下面是我们屏蔽Censys扫描的具体步骤:
第一步:登录阿里云控制台并找到安全组
- 访问阿里云官网,使用你的账号登录。
- 进入控制台首页,在顶部导航栏找到”产品与服务”,选择”云计算基础服务”下的”云服务器ECS”。
- 在ECS管理控制台左侧导航栏,找到并点击”网络与安全” > “安全组”。
第二步:添加安全组规则屏蔽Censys IP段
- 在安全组列表中,找到你要设置的安全组(通常一个实例至少绑定一个默认安全组)。
- 点击目标安全组右侧”操作”列下的”配置规则”。
- 进入安全组规则配置页面,点击”公网入方向”标签页,然后点击”手动添加”按钮。
- 按照下表配置安全组规则:
| 配置项 | 推荐设置值 | 说明 |
|---|---|---|
| 授权策略 | 拒绝 | 这是屏蔽的关键,会阻止指定IP的访问 |
| 优先级 | 2 | 数字越小优先级越高,确保此拒绝规则的优先级高于允许规则(允许规则可设为1) |
| 协议类型 | ALL | 屏蔽该IP段对所有端口和协议的访问(最严格) |
| 端口范围 | -1/-1 | 当协议类型为ALL时自动生成,表示所有端口 |
| 授权对象 | 输入Censys的IP段(见下文) | 使用CIDR格式表示IP地址范围 |
| 描述 | 屏蔽Censys扫描 | 建议填写清晰描述,便于后期管理 |
Censys使用的IP段包括:
162.142.125.0/24 167.94.138.0/24 167.94.145.0/24 167.94.146.0/24 167.248.133.0/24 199.45.154.0/24 199.45.155.0/24 206.168.34.0/24 对于IPv6地址,还需要屏蔽以下段:
2602:80d:1000:b0cc:e::/80 2620:96:e000:b0cc:e::/80 2602:80d:1003::/112 2602:80d:1004::/112 注意:阿里云安全组规则支持多条规则,你可以通过添加多条规则来屏蔽多个不同的IP段。授权对象中最多支持10组授权对象,可以用英文逗号隔开。
- 仔细核对信息无误后,点击”确定”保存规则。
第三步:验证规则生效
- 规则添加完成后,新添加的拒绝规则会出现在入方向规则列表中。检查其策略(拒绝)、优先级、协议端口和授权对象(IP段)是否正确。
- 进行网络连通性测试:尝试从被屏蔽IP段内的主机访问你ECS实例上被规则覆盖的服务(如SSH、RDP、Web端口)。使用
telnet或curl命令测试。 - 预期结果应该是连接超时、被拒绝或无法访问,这证明屏蔽规则已生效。
补充防护措施
除了使用安全组屏蔽IP段外,还可以采取以下补充措施增强防护效果:
1. 屏蔽Censys的User-Agent
Censys扫描使用的User-Agent为:
Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/) 你可以在你的Web服务器配置或WAF(Web应用防火墙)中添加对该User-Agent的屏蔽规则。
2. 使用Nginx高级特性(推荐)
如果你使用Nginx 1.19.4以上版本,可以利用ssl_reject_handshake特性在IP访问时终止TLS握手,这样就不会暴露域名信息了。
在Nginx配置文件中添加:
server { listen 443 ssl default_server; # 如果有IPv6地址的需要,则加入下面这行。 # listen [::]:443 ssl default_server; ssl_reject_handshake on; } 3. 设置虚假默认站点
你可以设置一个纯静态网站作为默认站点,并添加自签的空白SSL证书,强制使用HTTPS。这样当Censys扫描你的IP时,只会看到这个虚假站点而不是真实网站。
重要注意事项
- 规则优先级:阿里云安全组规则执行顺序是优先级数字小的规则先生效。务必确保你的拒绝规则的优先级高于允许规则(允许特定IP的规则优先级设为1,拒绝规则设为2或更大)。
- 屏蔽效果:添加屏蔽后需要等待3到7天才能完全生效,因为Censys更新需要一段时间。
- 误屏蔽风险:避免过度屏蔽,优先精准定位问题IP段,而非盲目屏蔽大范围IP,以免误伤正常用户。
- 综合防护:IP段屏蔽是基础网络层防护,建议结合阿里云云防火墙、DDoS防护和Web应用防火墙等高级服务,形成纵深防御体系。
总结
通过以上方法,你可以有效地利用阿里云安全组功能屏蔽Censys对你服务器的扫描活动,显著降低源站IP泄露的风险。虽然不能100%保证安全,但可以大大增加攻击者获取你服务器信息的难度。
记住,服务器安全是一个持续的过程,单点防御远远不够,需要结合日志监控、漏洞修复和多层防护策略,才能构建稳固的主机安全防线。
你是不是也已经发现了Censys的扫描记录?赶紧试试这些方法吧!如果有任何问题,欢迎在评论区留言讨论。
版权声明:本文采用 CC BY-NC-SA 4.0 协议进行授权,转载请注明来源于万事屋,并保留本站所有出处链接。
免责声明:本文仅供参考,读者因使用文中提到的方法而造成的任何直接或间接损失,本站不承担任何责任。
没有回复内容