【运维】互联网端口扫描导致的服务异常

原创 已于 2022-02-21 19:05:23 修改 · 6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#censys #sentry #flask

于 2022-02-07 10:46:12 首次发布
本文讲述了如何应对Censys的全球网络扫描,介绍了其用途、原理以及如何通过配置Nginx阻止Censys探测,以保护企业网络免受潜在安全威胁。

Censys

在这里插入图片描述
在这里插入图片描述

开工第一天,在查看Sentry记录时发现接口出现错误,而且错误原因都是因为请求同一个不存在的地址导致的404。分析后发现请求的headers里的User-Agent都是

Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

再一搜,发现censys是一个扫描全球公共IP及端口的安全工具,用来识别并统计常见漏洞。根据官方说明,这个扫描是人畜无害的,如果介意的话可以通过配置进行屏蔽
在这里插入图片描述

Censys是一个帮助信息安全从业者发现、监控以及分析可从互联网访问的设备。我们定期探测每一个公共IP以及知名域名,整理并丰富结果数据,最后通过交互式搜索引擎和API使其易于理解。
企业使用Censys了解其网络攻击面。CERT和安全研究人员使用它来发现新的威胁并评估其对全球的影响。Censys是由密歇根大学的计算机科学家建立,产生的数据已被遍布世界各地的研究人员的数百份科学论文使用。
Censys查找可公开访问设备的方法之一是使用全网扫描。我们每天对全球所有的IP地址进行少量且无害的连接尝试。当我们发现那台计算机或者设备被配置为接受连接时,我们通过完成协议握手来了解更多有关正在运行的服务的信息。
我们从不试图绕过任何技术屏障、利用安全问题或者访问非公开的服务,不仅如此,我们遵循社区最佳实践来减轻对端网络的压力。我们获取到的信息仅包括其他任何人访问该IP及端口时获取到的信息。
Censys通过192.35.168.0/23, 162.142.125.0/24、167.248.133.0/24、167.94.138.0/24、167.94.145.0/24、 167.94.146.0/24等子网扫描互联网,你可以根据需要把他们添加进白名单或黑名单。
我们有时会在其他设备上使用动态IP进行后续连接,但是通过阻止上述子网地址足以防止你的设备出现在我们的IPv4数据集中。

最低0.47元/天 解锁文章
宝塔面板屏蔽 Censys,防止源站 IP 泄露
u010066597的博客
08-15 1899
Censys 搜索引擎很强大。Censys 每天都会扫描 IPv4 地址空间,以搜索所有联网设备并收集相关的信息,并返回一份有关资源(如设备、网站和证书)配置和部署信息的总体报告。在 IP 前加上 https 访问时,Nginx 会自动返回该网站的 https 证书,从而暴露相关域名信息。哪怕是套了 CDN 也还是会被扫到。Censys 还会扫描端口,例如 80、8000、8080、443、4433。所以为了防止,自己的网站被攻击我们需要屏蔽掉 Censys 的扫描。
censys:用于查询Censys公共扫描数据库的Python代码
02-03
用于查询Censys公共扫描数据库的Python代码。 该脚本是围绕库censys-python( )编写的,旨在从命令行快速,轻松地进行censys查询。 要求 您需要在创建一个帐户 ,并在得到您的API密钥和密码 重要说明:您的查询将受到限制。 允许的值为0.2令牌/秒(每5分钟的存储桶60.0)。 $ sudo pip install -r requirements.txt 用法 $ censys_io.py --help usage: censys_io.py [-h] [-m MATCH] [-f FILTER] [--count] [-r REPORT] [-B REPORT_BUCKET] [-a ASN] [-c COUNTRY] [-o CERT_ORG] [-i CERT_ISSUER] [-s CERT_HOST] [-S HTTP_SERVER] [-t HTML_TITLE] [-b HTML_BODY] [-T TAGS] [--a
揭秘!GoAccess日志神器精准揪出网络爬虫,一键拉黑用户代理,让我看看谁家爬虫这么明目张胆?
雪之梦技术驿站
08-04 2147
最近服务器安装了GoAccess分析日志,每天都有新发现,看到Crawler占比有点大,还是要搞清楚哪些是非法爬虫,那些是可以接受的爬虫.操作系统操作系统排序按 [点击量, 平均响应时, 总共响应时, 最高响应时]浏览器浏览器排序按 [点击量, 平均响应时, 总共响应时, 最高响应时]通过上述面板均可发现有不少Crawler爬虫类,点开还能看到具体的明细,这样就好办了.看谁不爽拉黑谁!本文主要介绍了如果利用GoAccess分析出异常浏览器,识别出爬虫分类,基于互联网公开资料有选择性拉黑某些恶意爬虫.
服务器系统会瘫痪吗,服务端口扫描导致服务器瘫痪解决方式
weixin_42121905的博客
08-01 1003
在解释如何防止端口扫描之前,我们首先需要了解什么是端口扫描端口扫描实际上是通过向计算机的每个公共端口发送数据包,通过返回数据包来分析其攻击弱点。在了解了这一点之后,下一步该如何采取预防措施?实际上,最简单的方法是关闭未使用的端口,减少端口扫描的风险,然后对开放端口采取预防措施,让我们详细解释一下。1.右击此计算机顶部并单击弹出菜单中的"属性"。2.找到并单击系统窗口左上角的控制面板主页。3.找到...
服务器端口被扫会出现哪些风险
2301_77019676的博客
04-11 700
通过对服务器端口进行扫描,黑客可以了解服务器的开放端口、服务类型以及可能存在的漏洞。一旦黑客发现漏洞并成功利用,就可能导致服务器被入侵,进而窃取数据、植入恶意软件或进行其他非法操作。三、业务中断如果黑客通过端口扫描成功入侵服务器,他们可能会篡改数据、删除文件或破坏系统,导致业务无法正常运行。二、性能下降当服务器的端口被大量扫描时,会占用大量的系统资源,如CPU、内存和带宽。这会导致服务器的性能明显下降,响应速度变慢,甚至可能出现宕机的情况。这不仅可能导致法律纠纷和罚款,还可能影响企业的声誉和客户关系。
sspor:快速稳定的端口扫描工具软件
标题中的“sspor- 端口扫描软件”所指的应是一款名为“ssport”的端口扫描工具(可能因命名输入误差导致标题为“sspor”),从描述来看,该软件被定位为“经典而权威”的工具,具备扫描速度快、稳定性强和实用性高等...
火力加强版端口扫描工具合集,支持多端口高速检测
对于网络管理员、IT运维人员或初级安全研究人员而言,这类工具可用于日常巡检、故障排查、资产清点等工作,帮助及时发现异常开放的服务,防范潜在入侵风险。同时,由于其基于批处理语言开发,也为学习者提供了良好的...
IP SCAN 1.0:局域网IP与端口扫描工具
从标签“IP扫描, 端口扫描, 局域网, 网络维护, IPScan, 网络工具, IP地址, 网络诊断, 扫描工具, 网络安全”来看,该工具的应用范畴广泛覆盖了日常网络运维中的多个关键环节。首先,“局域网”明确了其适用范围——...
一个端口扫描器1111
07-16
9. **端口扫描在日常运维中的应用**:网络管理员会定期进行端口扫描,以确保所有开放的端口都有适当的理由,及时发现并关闭不必要的端口,降低被攻击的风险。 10. **隐私与合规**:在进行端口扫描时,必须考虑隐私...
记一次日志引起的服务端问题排查经历
SOHU_TECH的博客
07-21 428
本文字数:7655字预计阅读时间:20分钟1、源起:一天中午休息饭后散步时,隔壁组的王老哥提到,他们组的负责的一个Java服务最近一段时间,每天0点,经常会收到网关报警:提示接口响应慢。老板天天追问,但是服务使用的spring组件虽然支持在tomcat线程使用率超过一定数值后自动生成现场快照,但是不知道是什么原因,查看相关时间点附近生成的快照文件,里面的内容均正常,日志内容除问题时间点缺了一些...
记个怪事,网站被不明目地扫描
b君笔记
05-08 979
目录访问数据异常异常的访问奇怪方式和想不明白的动机一些发现ip地址user-agent持续时间结语原文链接 访问数据异常 今天无聊j突然想起好久没看站长数据了,登陆百度站长后台一看,下了一跳。什么鬼?日常个位数的访问量,今天咋了,上天(千)啦? 异常的访问 翻下访问日志,居然是遍历域名? 奇怪方式和想不明白的动机 上浏览器环境 正常的爬虫不会首先百度统计基于js,没有模拟浏览器是不会有统计数据的。 上浏览器环境模拟是为了伪装环境,而我的网站一没贵重内容,二没防护,为啥呢? 扫子域名 鄙人所知,
学习黑客你对专业搜索引擎了解有多少?
最新发布
qq_41179365的博客
05-09 894
垂直聚焦:只收录特定领域或格式的内容,保证结果高度相关 (结构化元数据:利用领域内标准化标签(作者、出版年、词汇表)改进检索精度 (Wikipedia高级过滤:提供按日期、来源、主题等多维度筛选,适合快速定位专业文献与数据 (
高级计算机网络实验——Internet Measurements
weixin_42866128的博客
10-26 580
普林斯顿大学网络实验。
SpringBoot项目日志 出现异常 Invalid character found in method name. HTTP method names must be tokens
Lao_gan_ma的博客
11-24 7591
场景: 部署在腾讯云服务器上的SpringBoot项目 检查日志发现从部署上去(6月份)后开始到现在(11月份),每天都有一条异常,但期间这个项目的接口我没有访问过。很可疑。 同样的异常,出现在我部署的每个项目日志中。 异常如下 2021-11-19 08:04:00.544 INFO 22526 --- [nio-5055-exec-5] o.apache.coyote.http11.Http11Processor : Error parsing HTTP request header Not
Censys出发,3分钟教你绕过 CDN 精准识别真实IP!
weixin_40558510的博客
12-21 1242
攻击者先获取CDN的域名,查询域名的相关SSL证书信息,结合Censys语法进行查询,censys数据库中存储了大量源站IP的证书信息,利用这些信息与攻击者输入的证书信息匹配,存在相关性,那么就把这些IP作为域名的源站IP。为了安全考虑,或者为了访问速度考虑,重要的域名应该都会加上CDN,也能保护一下源站ip不被泄露,再加上一层SSL证书,表面上,SSL证书看起来安全无比,包含的只是加密通信所需的公钥、域名信息以及证书颁发机构的相关信息,与服务器真实IP毫无关系。其核心能力在于对证书和网络服务的深度解析。
Kubernetes实战(二十四)-Pod log查询和存储实战
sre救赎之路
02-02 1359
Pod日志是容器内产生的日志数据,其存储在/var/log/containers/*.log中,kubectl logd pod_name所输出的日志就是/var/log/containers/*.log中指定pod的日志。
nginx实战-frp+docker+nginx+tomcat内网穿透无法获取客户端真实ip
Blueeyedboy521的博客
07-01 2788
浏览器–>frp–>nginx(docker)–>tomcat在公网部署了frp服务,在本地内网docker环境下安装好了nginx服务,访问内网中的tomcat,但我查看nginx的日志时,发现记录的ip全是内网docker的ip,没有获取到真实的访问ip。 用查看本地docker环境的ip,发现nginx获取到的ip全部是docker的gateway的ip 原因分析 查了一下frp文档,文档中简单的说了下,需要在frpc.ini配置文件中 ,需要增加一行,便可以开启记录真实ip的功能。在frpc.ini
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.3...
weixin_42591908的博客
01-25 7745
这是一个浏览器用户代理字符串。它表示使用的是 Mozilla 引擎(版本 5.0)运行在 Linux 操作系统的 64 位平台上,使用的是 AppleWebKit 和 Chrome 的版本 (537.36)和 Safari 的版本(109.0.0.0) 以及 Edge (109.0.1518.53)。 ...
Windows临时端口不够用导致TCP连接失败的问题
fj543的博客
05-30 5870
问题描述 在win10/win11系统中遇到一种情况,网络明明是通的,但是无法建立TCP连接,比如:用浏览器访问网站打不开,用telnet连接已知开放的目标端口也连不上。但是ping命令测试网络是正常的。 原因分析: 系统发起TCP连接时,会分配一个临时端口用于该连接。建立的并发连接越多,占用系统端口就越多。那系统到底能建立多少并发连接? 你以为是65535个吗?No! No! No! 这主要取决于系统对TCPIP的参数配置。: win2008 server 默认使用从1025开始的64510个临时端口;
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值