Censys 搜索引擎很强大。Censys 每天都会扫描 IPv4 地址空间，以搜索所有联网设备并收集相关的信息，并返回一份有关资源（如设备、网站和证书）配置和部署信息的总体报告。
在 IP 前加上 https 访问时，Nginx 会自动返回该网站的 https 证书，从而暴露相关域名信息。哪怕是套了 CDN 也还是会被扫到。Censys 还会扫描端口，例如 80、8000、8080、443、4433。
所以为了防止，自己的网站被攻击我们需要屏蔽掉 Censys 的扫描。据我所知有四种办法，分部是屏蔽 Censys 的 UA、屏蔽 Censys 的 IP 段、建立虚假网站以及使用 Nginx 的特性。四种方法，选其一即可。当然如果你觉得不够安全，可以都使用。

1. 系统： ubuntu22.04
   
2. nginx: 1.25.5

复制代码

1.屏蔽 Censys 的 IP 段

Censys 的 IP 段在其官网有。我的机子使用的是 Ubuntu 系统，带有 UFW 防火墙，按照下面的命令建立规则即可。
Censys IP段 ：https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Data-Collection
复制以下命令到ssh终端运行：

1. sudo ufw deny from 162.142.125.0/24
   
2. sudo ufw deny from 167.94.138.0/24
   
3. sudo ufw deny from 167.94.145.0/24
   
4. sudo ufw deny from 167.94.146.0/24
   
5. sudo ufw deny from 167.248.133.0/24
   
6. sudo ufw deny from 199.45.154.0/24
   
7. sudo ufw deny from 199.45.155.0/24
   
8. sudo ufw deny from 206.168.34.0/24
   
9. sudo ufw deny from 2602:80d:1000:b0cc:e::/80
   
10. sudo ufw deny from 2620:96:e000:b0cc:e::/80
    
11. sudo ufw deny from 2602:80d:1003::/112
    
12. sudo ufw deny from 2602:80d:1004::/112

复制代码

重载ufw生效,重启nginx

1. sudo ufw reload     #重载ufw
   
2. ufw status          # 查看状态
   
3. sudo systemctl reload nginx # 重启nginx

复制代码

2.屏蔽 Censys 的 UA

如果你使用了 CDN ，那么就要在 CDN 中屏蔽掉 Censys 扫描使用的 UA。
Censys 扫描使用的 UA 如下：

1. Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

复制代码

例如cloudflare cdn
安全性–WAF–自定义规则
字段：用户代理
运算符： 等于
值：Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

3.使用 Nginx 新特性（推荐）

Nginx 1.19.4 版本以上，新增了一个特性，

1. ssl_reject_handshake

复制代码

在 IP 访问时会终止 TLS 握手，也就不会暴露域名了。
例如宝塔面板：
在 /www/server/panel/vhost/nginx 目录找到 0.default.conf 删除原有代码，添加如下代码：

1. server {
   
2.     listen 443 ssl default_server;
   
3.     # 如果有 IPv6 地址的需要，则加入下面这行。
   
4.     # listen [::]:443 ssl default_server;
   
5.     ssl_reject_handshake on;
   
6. }

复制代码

重启nginx生效：:

1. /etc/init.d/nginx restart

复制代码

4.建立虚假网站

网站是一个纯静态网站，网站的文件，除了 .htaccess 和 .user.ini 这两个文件，其他的全删除。添加自签的空白 SSL 证书，强制 HTTPS，设置为默认网站

1.生成自签名证书(一路回车键)

1. mkdir -p /opt/signcert && cd /opt/signcert
   
2. openssl req -x509 -newkey rsa:4096 -keyout OpenLiteSpeed-key.pem -out OpenLiteSpeed-cert.pem -nodes -days 365  # 一路回车

复制代码

2.替换证书

1. cat /opt/signcert/OpenLiteSpeed-cert.pem > /www/server/panel/vhost/cert/ip.com/fullchain.pem
   
2. cat /opt/signcert/OpenLiteSpeed-key.pem > /www/server/panel/vhost/cert/ip.com/privkey.pem
   
3. /etc/init.d/nginx restart

复制代码

3.下一步到假站点保存一下ssl证书使其生效
设置假站点为默认站点

完结！
5.利用censys查询所需要的信息

First open this website: https://search.censys.io/
1、打开网站https://search.censys.io/
Then enter: services.http.response.headers.location: account.jetbrains.com/fls-auth in the search box, click Search, the website will retrieve many IP addresses
2、在输入框数据 services.http.response.headers.location: account.jetbrains.com/fls-auth后点击Search，网站会返回许多地址

1. Click any IP address to view the details page, make sure the Status Code under the 80/HTTP address is 302, then copy the IP address here in Detail as our License Server address

复制代码

3、点击任何一个地址，并查看详情页，确定端口为80的地址状态码为302。复制ip地址。

4. As above, enter the address and click Activate 最后点击Activate按钮即可。

来源：互联网
免责声明：如果侵犯了您的权益，请联系站长（1277306191@qq.com），我们会及时删除侵权内容，谢谢合作！