高防CDN还会被打源IP？屏蔽censys扫描，防止源IP泄露

最近一个朋友，上了高防的CDN，最后还是被抓到源IP打的招架不住，后来问了问高防CDN的人，人家给出了个说法是要屏蔽censys的扫描，这样的能大大减少源IP泄露的风险，资源E网这里也分享给大家，有备无患，看到的尽量就屏蔽一下哈。

Censys能搜索到域名对应的后端IP，它会扫描所有IP的80 8000 8080 443 4433端口，甚至会扫描https SSL域名证书，搜集到的信息再公布到网络上，很多黑客都是使用这玩意找到你的源站IP。

Censys自己也知道这样的情况，所以给出了屏蔽的选项，只要你屏蔽他的蜘蛛，就可以防止黑客使用Censys进行扫码。

我们以宝塔面板为例的话，在防火墙里面，禁止如下IP访问即可：

CIDR版本：

74.120.14.0/24

162.142.125.0/24

167.248.133.0/24

192.35.168.0/23

比如资源E网这么设置的：

ip段版本：

74.120.14.0 – 74.120.14.255

162.142.125.0 – 162.142.125.255

167.248.133.0 – 167.248.133.255

192.35.168.0 – 192.35.169.255

还有个比较方便的设置方式，那就是屏蔽Censys爬虫机器人user-agent

官方公布UA为：Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

我们只需在宝塔nginx防火墙 – User-Agent过滤，添加Censys|即可。其中“|”为分隔符，也需要添加。