起因
套了cdn的网站源ip的查询方法之一就是使用censys.io。 在这个里面输入网址可以直接查询到原站IP。 查了下自己两台小鸡都显示了源ip。。
原理
我们建站源站若使用了ssl. 那么直接访问,https://源站ip. 就可以得到我们网址,以及证书。 这样就间接确定了,我们网站的域名以及真实ip。而censys.io通过扫描 ip地址来得到域名从而暴露源站 ip.
防护
只要访问我们的ip,不暴露真实证书就可以了。
a.在Nginx里新建一个网站,域名为自己真实的ip地址
b.添加假的ssl证书。(文末下载) (这里提供一份空白的ssl)
c.整站404。
location / {
return 404;
}
补充解释
添加这个ip域名的网站,只针对443 和80端口, 其他端口功能不会受影响。 使用测试后遇到一个小bug, 添加ip作为域名后, 使用别的机器反代自己的网站真实ip也反代不了。可能是ip域名优先度比较高吧。
评论