censys nginx 避免探测ip

有用的参考博客： https://cloud.tencent.com/developer/article/1989484

https://cangshui.net/4289.html

https://zhuanlan.zhihu.com/p/655158843

https://www.bilibili.com/video/BV1Gs4y1E7rv

基本介绍

有一个网站 censys.io 是个碰瓷网站。

他就用下面的访问方式去获取网站的证书。

https://<ip>

如果你的网站是用的nginx，并且你的nginx配置文件中只设置了一个443的server，那么你的这个网站的证书就会被访问到。

他看了一看证书就找到了你的域名，这样就把你的ip和你的域名对应起来了，你就暴露了。

防御

我的防御分为两个部分

1 限制host

不允许以ip的方式访问我

server {
    if ($host != hello.com) {
        return 403;
    }
}

2 设置一个假的默认网站，让以ip访问的人访问到这个假的网站证书

首先需要你用openssl生成一个假的自签名证书。

得到一个 fack.cer 和 fack.key

在nginx的配置中首先配置这个假的服务，让他作为默认网站。

这样他访问ip，拿到的就是你的假证书，就避免了碰瓷。

# anti detect for censys
server {
    listen 80;
    listen 443 ssl http2;
    ssl_certificate       /root/tls_key/fack.cer;
    ssl_certificate_key   /root/tls_key/fack.key;
    ssl_protocols         TLSv1.3;
    return 403;
}

server {
    if ($host = hello.com) {
        return 301 https://$host$request_uri;
    } # managed by Certbot
    listen      80;
    server_name <your_server_ip> hello.com;
    return 404; # managed by Certbot
}


server {
    if ($host != hello.com) {
        return 403;
    }
    # m
    listen 443 ssl http2;
    listen [::]:443 http2;
    ssl_certificate       /root/tls_key/hello.com.cer;
    ssl_certificate_key   /root/tls_key/hello.com.key;
    ssl_protocols         TLSv1.3;
    ssl_ciphers           TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;
    server_name <your_server_ip> hello.com;

    location /static
    {
        alias /root/xxx/static/; # 指向django的static目录
    }

    # Finally, send all non-media requests to the Django server.
    location /
    {
        uwsgi_pass  django;
        include     uwsgi_params; # the uwsgi_params file you installed
    }
}