Pages

Monday, 20 January 2020

cdn下,源站ip泄露检测-Censys.io

1.进入 https://censys.io/;
2.输入需要检测的域名;
3.点击查看结果中是否泄露;
4.如果已被扫描则会在结果中出现你的源站IP;
5.另,如你一开始没有使用CDN;则你源站IP必定泄露了;
以上;请务必参考 三个步骤隐藏真实服务器IP更换IP+套CDN处理;

via https://censys.io/

DDOS安全知识相关
配置好CDN加速之后,对源站IP的保护也至关重要。了解以下知识,可以涨些许姿势;
本文,旨在帮助你更好的保护好你的Web服务,尽可能减少损失。

Censys.io 搜索引擎介绍
“Censys是一款搜索引擎,它允许计算机科学家了解组成互联网的设备和网络。Censys由因特网范围扫描驱动,它使得研究人员能够找到特定的主机,并能够针将设备、网站和证书的配置和部署信息创建到一个总体报告中。”

Censys.io 相关资料
如何检测:进入 https://censys.io/,查看你的域名看看是否存在泄露;


如何防止入站扫描找到隐藏在CDN后的源站服务器IP?
其实小站确实不需要,大站硬抗。快速简单粗暴直接且有效的解决方案代码实现如下:(此脚本针对Cloudflare):
#!/bin/bash
# Name  : Anti IP Leakage

# 禁止来自IPv4的所有HTTP/S访问请求
iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -p tcp --dport 443 -j DROP

# 对Cloudflare CDN IPv4地址开放HTTP/S入站访问
for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done

# 禁止来自IPv6的所有HTTP/S访问请求
ip6tables -I INPUT -p tcp --dport 80 -j DROP
ip6tables -I INPUT -p tcp --dport 443 -j DROP

# 对Cloudflare CDN IPv6地址开放HTTP/S入站访问
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done

# 保存iptables配置
iptables-save
ip6tables-save

# 注意:80/443为默认HTTP/S协议通讯使用端口,若实际应用使用非80/443端口进行,请依葫芦画瓢自行修改脚本
# Ubuntu系统可以使用UFW则类似:for i in `curl https://www.cloudflare.com/ips-v4`; do ufw allow proto tcp from $i to any port 80; done
# 基于Linux系统兼容性考虑脚本使用iptables配置系统防火墙,请自行根据各自系统、防火墙不同做相应配置调整实施
via https://www.9sep.org

其他相关
https://www.shodan.io
-----------

Censys:一款洞察互联网秘密的新型搜索引擎


Censys是一款用以搜索联网设备信息的新型搜索引擎,安全专家可以使用它来评估他们实现方案的安全性,而黑客则可以使用它作为前期侦查攻击目标、收集目标信息的强大利器。
Censys功能介绍
现在,黑客和安全专家们拥有了一款新型强大的分析工具,那就是Censys搜索引擎,与最流行的搜索引擎Shodan非常类似。Censys是一款免费的搜索引擎,最初由密歇根大学的研究人员在10月发行,目前由谷歌提供支持。
Censys搜索引擎能够扫描整个互联网,Censys 每天都会扫描IPv4地址空间,以搜索所有联网设备并收集相关的信息,并返回一份有关资源(如设备、网站和证书)配置和部署信息的总体报告。
Censys官方网站上这样描述该搜索引擎:
“Censys是一款搜索引擎,它允许计算机科学家了解组成互联网的设备和网络。Censys由因特网范围扫描驱动,它使得研究人员能够找到特定的主机,并能够针将设备、网站和证书的配置和部署信息创建到一个总体报告中。”
Censys原理及架构
与Shodan类似,Censys维护着一个完整的数据库,里面保存着每个暴露在互联网上的设备信息。对于一个黑客来说,如果他想搜索一个特定的目标,并需要收集目标配置的信息,那么对他来说censys无疑是一款特权工具。同时,安全专家能够轻易锁定互联网上保护措施很差的设备。
密歇根大学领导Censys项目的研究人员兼ZMap发明者Zakir Durumeric说道:
“从ATM和银行保险箱到发电厂的工业控制系统,我们已经找到了它们中的所有信息。这令人感到非常担忧。”
Censys的开发是作为一个开源项目的一部分的,该项目旨在维护一个“联网设备的完整数据库”,目的是帮助安全专家来评估互联网上的产品和服务的安全性。
Censys使用到了ZMap和ZGrab。其中,ZMap是一款网络扫描器,它能够扫描特定机器,以寻找可能被利用的安全漏洞,它分析了40亿个IP地址,并每天搜集这些IP地址上设备的信息;ZGrab是一款应用层扫描器。此外,这份研究论文中详细介绍了Censys的架构和所实现的功能。
发现物联网设备重用密钥的功臣
我建议感兴趣的读者阅读一下麻省理工学院关于Censys的技术评论《针对互联网上的肮脏秘密的搜索引擎》(“A Search Engine for the Internet’s Dirty Secrets”),但最有趣的是开发团队发布的Censys详细教程
目前,安全专家已经在使用Censys,最近SEC咨询部的研究人员发现,物联网设备重复使用了加密密钥,使得数百万设备处于危险之中(Freebuf相关报道)。专家们分析了4000固件,发现只有大约580个不同的私钥。使用Scan.io和Censys.io使得他们发现,相同密码集存在广泛重用的情况,其中580个密码中只有230个处于使用状态。
*参考来源:SecurityAffairsTHN