欢迎您访问365答案网,请分享给你的朋友!
生活常识 学习资料

【运维】Censys扫描导致的服务异常

时间:2023-07-22


开工第一天,在查看Sentry记录时发现接口出现错误,而且错误原因都是因为请求同一个不存在的地址导致的404。分析后发现请求的headers里的User-Agent都是

Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

再一搜,发现censys是一个扫描全球公共IP及端口的安全工具,用来识别并统计常见漏洞。根据官方说明,这个扫描是人畜无害的,如果介意的话可以通过配置进行屏蔽

Censys是一个帮助信息安全从业者发现、监控以及分析可从互联网访问的设备。我们定期探测每一个公共IP以及知名域名,整理并丰富结果数据,最后通过交互式搜索引擎和API使其易于理解。
企业使用Censys了解其网络攻击面。CERT和安全研究人员使用它来发现新的威胁并评估其对全球的影响。Censys是由密歇根大学的计算机科学家建立,产生的数据已被遍布世界各地的研究人员的数百份科学论文使用。
Censys查找可公开访问设备的方法之一是使用全网扫描。我们每天对全球所有的IP地址进行少量且无害的连接尝试。当我们发现那台计算机或者设备被配置为接受连接时,我们通过完成协议握手来了解更多有关正在运行的服务的信息。
我们从不试图绕过任何技术屏障、利用安全问题或者访问非公开的服务,不仅如此,我们遵循社区最佳实践来减轻对端网络的压力。我们获取到的信息仅包括其他任何人访问该IP及端口时获取到的信息。
Censys通过192.35.168.0/23, 162.142.125.0/24、167.248.133.0/24、167.94.138.0/24、167.94.145.0/24、 167.94.146.0/24等子网扫描互联网,你可以根据需要把他们添加进白名单或黑名单。
我们有时会在其他设备上使用动态IP进行后续连接,但是通过阻止上述子网地址足以防止你的设备出现在我们的IPv4数据集中。
Censys数据有时会被研究人员以及网络管理员使用来检测安全问题并提醒易受攻击系统的运营商。如果你屏蔽我们的扫描,你可能不会收到那些重要的安全提醒

在官网注册后就可以进行查询,这里就查到了我们暴露的端口

屏蔽Censys扫描

修改nginx配置:

server { ... location / {... # 禁止Censys探测 deny 192.35.168.0/23; deny 162.142.125.0/24; deny 167.248.133.0/24; deny 167.94.138.0/24; deny 167.94.145.0/24; deny 167.94.146.0/24; }}

修改配置前返回404

>>> curl http://47.xx.xx.xx:3120

{ "detail": "The requested URL was not found on the server、If you entered the URL manually please check your spelling and try again.", "status": 404, "title": "Not Found", "type": "about:blank"}

修改配置后返回403

>>> curl http://47.xx.xx.xx:3120

403 Forbidden

403 Forbidden

nginx/1.18.0 (Ubuntu)

参考:
https://www.blueskyxn.com/202101/3843.html
https://about.censys.io
https://hostloc.com/thread-934850-1-1.html
https://www.cnblogs.com/architectforest/p/12794412.html

Copyright © 2016-2020 www.365daan.com All Rights Reserved. 365答案网 版权所有 备案号:

部分内容来自互联网,版权归原作者所有,如有冒犯请联系我们,我们将在三个工作时内妥善处理。