可爱可恨的扫描程序 Censys

刘慈欣说过，技术本身并没有善恶，只是人性的放大器。而从 Censys 这种扫描程序背后，我看到的人性更多是恶，只因为它轻而易举地就把你煞费苦心隐藏的信息全部公开了出来。

Censys、Shodan 等等扫描程序在网络安全大佬看来，自然是掌上明珠。但对于更多的程序员、站长甚至云厂商而言，应该是个不折不扣的撒旦。“CDN 我用上了，高防 IP 也花了我不少钱，可为什么服务器总是那么不争气”可能是曾经饱受 Censys 折磨的每一个人共同的经历。Censys 降低了发动网络攻击的成本，让那些囊中羞涩的脚本小子也敢对你的邮箱发送勒索信。

我初识 Censys 是在一个讨论 CloudFlare 的技术群里。然而，这个群里的一部分人却总是在讨论如何发现隐藏在 CloudFlare CDN 之下的源站地址。发动 DDoS 攻击？不行，CloudFlare 的防护能力实在太过强大；投诉侵犯版权？也不行，CloudFlare 只会转发投诉给源站提供商，最多暂停提供服务，但就是不给你源站。各种歪门邪道都提了一遍，才看到有人发：“要不用 Censys 试试看？”结果一搜一个准。

我想，你点进来的目的，应该是为了学习如何减轻 Censys 这种东西对你服务器的影响，比如泄露源站 IP 地址、暴露 SSH 端口。那废话不多说，我们开始。

我仅以一个网络安全三脚猫的身份撰文，本文内容也仅适用于 Linux 与 Nginx ，因此以下方法仅供参考。

Nginx 默认站点

请单独创建一个子目录并设置为默认站点，就像这样

你需要把默认的前几行配置文件改成这样

server
{
  listen 80 default_server;
	listen 443 ssl http2 default_server;

并且，你应该为它添加一张自签名的 SSL 证书，但证书内不应包含任何与域名、IP 相关的信息，包括但不限于 CommonName、EmailAddress。至于为什么。

这么做的目的，是为了有些别有用心的人在访问 https://ip 的时候暴露本不应出现的证书信息。

防火墙

屏蔽 IP

Censys 在 Opt Out of Scanning 中给出了他们用于扫描的 IP 段。因此，你只需要在服务器内运行 iptables 或 firewalld 等命令，或者在服务器后台控制面板处屏蔽如下 IP 即可：

162.142.125.0/24
167.94.138.0/24
167.94.145.0/24
167.94.146.0/24
167.248.133.0/24
192.35.168.0/23
2620:96:e000:b0cc:e::

但是，Censys 并不会因此而删除已被记录的数据。如果你已经在 Censys 上发现了有关你服务的信息，请先更换公网 IP 后再这么做。

屏蔽 UA

Censys 也给出了用于扫描的 User Agent，请屏蔽它。你可以创建一个 block_censysua.conf 的文件：

if ($http_user_agent ~ "Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)")
{
     return 418;
}

然后在 nginx.conf 的 server 或者 location 中引用它

include  block_censysua.conf;

开放端口

我曾经看到很多新手一拿到服务器就 iptables -P INPUT ACCEPT 一把梭，甚至还有 apt-get purge netfilter-persistent，这是极不推荐的。请按需开放端口，如果你要建站，那么除了 80 443 端口，剩下的只需要开放你的 SSH 端口就可以了。如果你只用 VNC 登录，那 SSH 端口甚至都可以不开放。

另外，如果你使用了宝塔面板，请一定要修改默认登录端口 8888 ——因此受害的人不在少数。

DNS

如果你前边的措施都还没做，就已经为域名解析好了源站的 IP，请赶快删除解析。不少扫描解析记录的网站也会暴露你的源站地址，甚至都不需要 Censys 出场。

另外，请使用具有一定攻击防护能力的 DNS。很多人以为自己的服务器已经固若金汤了，可 DNS 一被攻击，网站照样站不起来。

那 DNS 怎么解析？看下一小节。

CDN 与高防 IP

用好 CDN，进可加速，退可防护。高防 IP 同理，其实都是起到一个代理和转发的作用。如果预算充足，不要吝啬，为你所有的子域名都用上 CDN。有时候往往就是一个没有使用 CDN 的子域名暴露了你的源站地址。

网站托管

把网站托管分到 CDN 下，说对也不对。网站托管，比如腾讯云 Webify 和各种云厂商对象存储中的静态网站托管服务，都能为你的网站提供强大的源站基础，毕竟 SLA 放在那里，被攻击了也不会停，流量相比业务正常运行，又能贵到哪里去呢？

不对的，是在于如果你想全量把网站搬到网站托管平台，那就必须是静态站，很多只有动态网站才能实现的功能也会因此受限。

如果你想找三流小公司提供的那些企业官网、个人笔记代搭建，那只好自求多福了。

SSL

请尽量签发通配符证书，比如 *.princewen.com ，而不是为 ww1.princewen.com ww2.princewen.com 和 ww3.princewen.com 分别签发三张证书。你签发了哪些证书，在 crt.sh 可是全都能查到的。

另外，如果你在开头的 nginx 默认站点 那里选择使用自签证书，那么证书链内一定不要包含任何与域名、IP 有关的内容，censys 的扫描细度会让你意想不到。

为了安全，截图中的数据已被编辑

日常该做的

日志

定期查看 Nginx 日志，发现可疑的 IP 或访问路径时，请按照 屏蔽 IP 直接屏蔽，免得日后生事。

不留联系方式

如果有人使用 Censys 等扫描程序是为了攻击你，那么最终目的往往离不开钱。不留联系方式，攻击者不知道如何勒索你，甚至你也不知道该怎样被勒索。

少去检测网站

检测网站往往会为你的每一次测试进行排行，而这就正好为攻击者提供了名单。更有甚者，会公布一些除了你没人知道的子域名，比如 myssl.com

君子协定

如果你采取了以上所有的措施，却仍然没有任何效果的话，humans.txt 和 robots.txt 可能会成为你感化攻击者的唯一方式。

报警

如果你的网站完成了 ICP 备案，且使用的是中国境内的服务器，请不要怜悯对面，警察叔叔更不会，即使攻击的流量并不大。

这会是最后一道防线。

我的博客即将同步至腾讯云+社区，邀请大家一同入驻：https://cloud.tencent.com/developer/support-plan?invite_code=1hfr53h7bhvim