Censys.io 能够查询到 CDN 源服务器 IP 的原因主要是因为它使用 SSL 证书信息来识别和索引服务器。
SSL/TLS 证书通常包含域名、子域名和电子邮件地址等信息。Censys 通过分析这些证书链,能够获得有关服务器的详细信息,包括其 IP 地址 。此外,Censys 还使用 ZMap 进行 IPv4 地址空间的扫描,快速地向目标设备发送网络请求,并记录开放的端口和服务信息,这也可能使其能够发现并记录 CDN 背后的源服务器 IP。
为了防止 Censys 扫描并暴露 CDN 源站的真实 IP,可以采取一些措施。
例如,可以屏蔽所有 Censys 段的 IP 地址,或者屏蔽除了 CDN 以外所有 IP 访问 。
如果是使用 Cloudflare 的用户,可以使用 Argo Tunnel 服务来增加一层保护 。
还可以给服务器IP添加一个错误的 SSL 证书,以确保以 IP 方式访问时会出现错误页面,从而防止 Censys 通过 SSL 证书获取信息 。
另外,Censys 官方也提供了一个选择退出扫描的选项,用户可以通过修改服务器配置来阻止 Censys 爬虫的访问 。