NGINX NGINX Trac 3rd Party Modules Security Advisories CHANGES OpenResty ngx_lua Tengine 在线学习资源 NGINX 开发从入门到精通 NGINX Modules ngx_echo
关于 NGINX 防止主动探测 / 爬虫扫描 HTTPS 的配置方法
mikewang MikeWang000000 2023-10-17 01:22:53 +08:00 4413 次点击这是一个创建于 796 天前的主题,其中的信息可能已经有所发展或是发生改变。
公网上暴露 https 端口,难免会被扫到,有些爬虫还会顺藤摸瓜根据证书找到域名,然后接着扫,在日志里留下 /wp-admin 等等记录。
虽然这些扫描对我服务影响不大,但是看到还是有点烦,因此想利用 NGINX 配置彻底隐藏我的 https 服务。
我的环境:
- 内网正常提供 80 / 443 端口服务,
- 公网仅开放高位端口,转发至 443 ( https )。
我的配置 (篇幅原因,放到 pastebin 里了):
[ https://pastebin.com/embed_iframe/bSBarvY8 ]
也就是说,这样的配置,在 [ https://域名:端口/路径 ] 里:
- https 、指定域名、端口,三者完全匹配才能完成 TLS 握手;
- 正确路径才有 HTTP 响应;
- 其他情况都是直接关闭 TCP 连接。
即使网络链路中存在中间人,截获了 SNI 域名,由于没有正确路径,依然不能获得响应。中间人只能判定其中有 TLS 流量,但不能扫描到 HTTPS 。
我想,这样应该能很好的隐蔽起我的 https 服务,只有知晓全路径的人才能访问得到。不知道这样的配置是不是还存在漏洞,欢迎大家指点讨论~
 | 1 ellermister 2023-10-17 02:32:42 +08:00 via Android 高位端口不常用,我的很多公网服务都被扫描,扫描爬虫都比正常访客要高,日志看的烦。用脚本怕 access.log 拉黑 ip ,也拉不完,感觉没啥面对公网环境完美的办法。 |
 | 2 dann73580 2023-10-17 02:44:14 +08:00  1 我用的办法是直接把常见 idc 段 ip 拉黑名单,简单粗暴疗效好。如百度阿里腾讯层峰的全都 ban 了。 |
 | 3 Conantv2 2023-10-17 02:51:12 +08:00 via iPhone 我记录 SNI 的同时也记录端口,阁下又该如何应对? |
 | 5 miyuki 2023-10-17 07:14:47 +08:00 via iPhone 我是 default server 也配置一张随便写域名的证书,iptables 443 白名单 cf 段 |
 | 6 hefish 2023-10-17 07:21:10 +08:00 那还转发啥啊,直接在高位端口用就是了。 |
 | 7 grittiness 2023-10-17 08:49:51 +08:00 这和 nginx 直接配置`ssl_reject_handshake on;`有什么区别吗? |
 | 8 dode 2023-10-17 09:00:57 +08:00 单独配置一个自行生成的证书作为默认网站,真实网站再独立创建一个 server 跑服务 |
 | 10 mikewang OP |
 | 11 ryd994 2023-10-17 09:17:22 +08:00 你想更进一步安全的话可以自己签客户端证书,搞 TLS 双向验证。 |
 | 12 greenskinmonster 2023-10-17 09:24:04 +08:00 2 fail2ban 把短时间内产生大量 4xx 错误码的 IP 都 ban 了 cat /etc/fail2ban/filter.d/nginx-4xx.cnf [Definition] failregex = ^<HOST>.*"(GET|POST).*" (404|444|403|400) .*$ ignoreregex = |
 | 14 shijingshijing 2023-10-17 09:29:42 +08:00 @dann73580 哪里能下载 idc 段 ip 列表的?或者有什么规则可以自定义? |
 | 15 awalkingman 2023-10-17 09:45:22 +08:00 我是把后缀/wp-admin 之类的爆破路径直接重定向到测试网速下载 1000G 文件的链接 |
 | 16 ysc3839 2023-10-17 13:23:53 +08:00 via Android if ($public_ip) 应该能改用 deny 。 另外 error_page 有坑,在其中一个 server block 配置了 400 =444 ,其他 server block 也会继承,想要域名访问时正常返回 400 就不行了。 |
| 17 mikewang OP @ysc3839 deny 应该是可以的。关于 400 ,确实存在这个问题。但是目前没能找到更好的方法,因为客户端发送的可能就是垃圾数据,nginx 不能判断站点,只能一并切断。 echo 123 | nc example.com 12345 nginx 返回一个 400 响应就暴露了 |
 | 18 sn0wdr1am 2024-09-16 05:00:15 +08:00 听说 nginx 返回 444 ,效果比较好。 |
Select Language