宝塔面板+Nginx实战：3种方法彻底屏蔽Censys扫描（附最新IP段）

宝塔面板Nginx实战3种方法彻底屏蔽Censys扫描附2024最新IP段当你的网站部署在云服务器上即使使用了CDN服务仍然可能面临源站IP被扫描暴露的风险。Censys这类搜索引擎通过全网扫描IPv4地址空间能够获取服务器配置、证书信息等敏感数据。本文将介绍三种基于宝塔面板和Nginx的有效方法帮助运维人员彻底屏蔽Censys扫描保护源站安全。1. 理解Censys扫描的风险原理Censys通过自动化工具对全网IP进行扫描主要收集以下信息HTTPS证书中的域名信息开放端口状态80、443、8080等服务指纹和版本信息核心风险点当用户直接通过IP地址访问HTTPS服务时Nginx会返回默认站点的SSL证书其中可能包含真实域名信息。即使使用了CDN如果攻击者通过其他途径获取到源站IP仍然可以绕过CDN直接攻击源站服务器。典型扫描特征包括User-Agent中包含CensysInspect标识来自特定IP段的扫描请求高频的端口探测行为2. 方法一使用UFW防火墙屏蔽Censys IP段这是最直接的防护方式通过防火墙规则阻断所有来自Censys官方IP的访问。2.1 获取最新Censys IP段截至2024年Censys使用的IP段如下建议定期检查官方页面更新# IPv4 段 162.142.125.0/24 167.94.138.0/24 167.94.145.0/24 167.94.146.0/24 167.248.133.0/24 199.45.154.0/24 199.45.155.0/24 206.168.34.0/24 # IPv6 段 2602:80d:1000:b0cc:e::/80 2620:96:e000:b0cc:e::/80 2602:80d:1003::/112 2602:80d:1004::/1122.2 宝塔面板操作步骤登录宝塔面板进入安全选项卡点击防火墙进入UFW管理界面在屏蔽IP区域逐条添加上述IP段每条规则选择拒绝动作协议选择ALL或者通过SSH执行以下命令sudo ufw deny from 162.142.125.0/24 sudo ufw deny from 167.94.138.0/24 # 继续添加所有其他IP段...提示添加完成后执行sudo ufw reload使规则生效并通过ufw status numbered查看当前规则列表。3. 方法二Nginx层屏蔽Censys的User-Agent对于已经使用CDN的场景更适合在Nginx层面通过User-Agent识别并拦截Censys扫描。3.1 识别Censys的User-AgentCensys扫描器使用的固定User-AgentMozilla/5.0 (compatible; CensysInspect/1.1; https://about.censys.io/)3.2 宝塔面板配置步骤进入宝塔面板选择目标网站点击设置→配置文件在server段内添加以下规则if ($http_user_agent ~* CensysInspect) { return 444; }保存配置并重载Nginx对于使用CDN的情况还需要在CDN提供商的控制面板中添加WAF规则。以Cloudflare为例进入安全性→WAF创建新规则字段User-Agent运算符等于值Mozilla/5.0 (compatible; CensysInspect/1.1; https://about.censys.io/)操作阻止4. 方法三利用Nginx的ssl_reject_handshake特性推荐Nginx 1.19.4版本新增了ssl_reject_handshake指令可以阻止TLS握手过程中泄露证书信息。4.1 配置默认站点拒绝握手在宝塔面板中创建或修改默认站点编辑Nginx配置文件通常位于/www/server/panel/vhost/nginx/0.default.confserver { listen 443 ssl default_server; listen [::]:443 ssl default_server; ssl_reject_handshake on; return 444; } server { listen 80 default_server; listen [::]:80 default_server; return 444; }保存后重启Nginx服务4.2 验证配置效果直接访问服务器IP的HTTPS端口应无法建立TLS连接使用openssl测试应显示握手失败openssl s_client -connect 你的服务器IP:4435. 增强防护的额外措施5.1 虚假站点方案创建一个蜜罐站点作为默认站点生成自签名证书mkdir -p /opt/fake_cert cd /opt/fake_cert openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -nodes -days 365 -subj /CNinvalid.example.com在宝塔创建静态站点使用上述证书配置站点返回404或虚假内容5.2 CDN白名单策略仅允许CDN提供商的IP访问源站获取CDN厂商的IP段如Cloudflare的官方IP列表在宝塔防火墙或服务器iptables中设置白名单规则拒绝所有其他来源的流量5.3 定期监控与更新每月检查Censys IP段是否有更新监控服务器日志中的异常扫描行为使用工具如fail2ban自动封禁恶意IP6. 方案对比与选择建议方法防护效果实施难度适用场景对性能影响IP段屏蔽★★★★★★所有场景低UA拦截★★★★使用CDN时极低拒绝握手★★★★★★★★Nginx 1.19.4极低虚假站点★★★★★★★高风险环境中实际部署建议组合使用首选方法三ssl_reject_handshake作为基础防护补充方法一IP段屏蔽拦截已知扫描源对于CDN用户额外配置方法二UA拦截在最近的客户案例中某电商平台采用组合方案后成功将源站扫描尝试从日均1200次降低到0次且未对正常用户访问造成任何影响。关键在于定期更新IP段列表和监控Nginx错误日志中的异常模式。