当前位置：首页 > 技术分享

如何解决HTTPS SSL暴露使用CDN后的真实服务器IP问题与解决办法防止 Censys 通过证书链识别出源站 IP

admin7个月前 (11-08)技术分享456

现在越来越多的网站放在CDN上以加快访问速度。此外还有一种考虑就是将网站的真实IP通过CDN来隐藏起来，避免被发现真实IP从而被攻击。那么问题来了：

有一个坑爹的网站，例如 https://search.censys.io 会通过nginx特性’来批量扫描 https://ip 以通过ssl证书获取ip与源站的对应关系

时刻在全网扫描激活的IP地址，然后利用nginx一个“漏洞”来检查IP对应的域名，并做了对应关系。如果服务器是nginx的web服务

可以直接通过https://ip地址来访问，默认调用了你的域名证书,导致被记录到IP

nginx会向浏览器发送默认的SSL证书，通过查看证书详情可以找到对应的域名。

如果两厢匹配，那么你的站就被这个坑爹的http://censys.io给记录了，通过http://censys.io搜索域名或IP就能找到关联信息。

如何解决这个问题呢？

防止 Censys 通过证书链识别出源站 IP 和 CDN 域名关联的方法：

1.配置访问限制：配置防火墙，禁止公开源站ip 屏蔽 Censys 的 IP 段屏蔽 Censys 的 UA：在 CDN 的配置中，设置规则屏蔽 Censys 扫描使用的用户代理（UA），如在 Cloudflare CDN 的 “安全性 - WAF - 自定义规则” 中，将 “用户代理” 字段设置为等于 “Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)” 进行屏蔽。

2.利用服务器特性： Nginx 特性：如果使用 Nginx 服务器且版本在 1.19.4 及以上，可在配置文件中添加 “ssl_reject_handshake on;” 指令，当通过 IP 访问时会终止 TLS 握手，避免暴露域名。使用反向代理：在源站和 CDN 之间设置反向代理服务器，对源站 IP 进行隐藏，使 Censys 难以直接获取源站与 CDN 域名的关联。

3.设置虚假站点生成假证书和假站点：创建一个虚假的网站，生成自签的空白 SSL 证书并应用到该假站点上，将假站点设置为默认站点。设置返回代码：在假站点的配置文件中，添加返回特定状态码的指令，如 “return 444;”，使通过 IP 访问时返回无法访问的页面，隐藏真实源站。

假站点解决办法

第一步:

创建一个虚假网站

第二步:

将该网站设置为默认网站

第三步:

设置虚假SSL证书这里提供一份虚假证书

虚假证书在线生成：https://ssl.ouyun.cc/

key秘钥填入宝塔 SSL设置-其它证书-秘钥处：

-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----

证书内容填入宝塔SSL设置-其他证书-证书(PEM格式):

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----