【技术分享】防止根据IP查域名,防止源站IP泄露

最新推荐文章于 2023-08-03 20:19:00 发布
最新推荐文章于 2023-08-03 20:19:00 发布
阅读量2.5k 收藏
点赞数
分类专栏: JAVA 文章标签: tcp/ip ssl https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16027093/article/details/130447916
版权
文章讲述了如何通过Nginx配置防止IP直接访问网站,包括设置假域名、使用return444指令,以及利用ssl_reject_handshake来拒绝不合法的SSL握手。此外,还介绍了使用自签名证书创建假的HTTPS连接,以防止未授权的IP访问并显示错误信息。
摘要由CSDN通过智能技术生成

有的人设置了禁止 IP 访问网站,但是别人用 https://ip 的形式,会跳到你服务器所绑定的一个域名网站上

直接通过 https://IP, 访问网站,会出现“您的连接不是私密连接”,然后点高级,会出现“继续前往 IP”,然后点击后会跳到你服务器上的一个域名网站!

为了防止上面这种情况,所以继续看:

新建站点

网站——添加站点——域名随便写一个不存在的,如:ha.haha——PHP 版本:纯静态,配置里添加 return 444;

设置默认站点

默认站点设置为上面所建的一个假域名网站 ha.haha

禁止 IP 访问网站

就是上面新建站点时的 return 444; 设置,一定要设置。 禁止 IP 访问网站,防止服务器被恶意解析

进阶方法

ClientHello 中是带着 SNI 的,所以其实握手阶段是可以知道访问的域名是否合法的,NGINX 1.19.4 中添加了一个新的配置项 ssl_reject_handshake 用于拒绝握手,也就不会提供证书。

使用方法也很简单,将原本默认配置中的 return 444 替换成 ssl_reject_handshake on 即可。

server {
 listen 443 default_server;
 server_name _;
 include conf.d/ssl.config;
 # 不用返回 444 了,直接拒绝握手 
 ssl_reject_handshake on;
 # return 444;
}

复制

配置后,再尝试 IP 访问,会发现浏览器报了 ERR_SSL_UNRECOGNIZED_NAME_ALERT 的错误,也看不到证书信息。

套用假证书

通过自签名证书,自签一个假的证书(假域名,假信息),然后套在上面假的域名网站上。 创建自签名 SSL 证书

到此完成。

此时通过 https://IP, 访问网站,会出现“您的连接不是私密连接”,然后点高级,会出现“继续前往 IP”,然后会出现“ERR_HTTP2_PROTOCOL_ERROR”错误,无法访问此网站提示!

程序员白城
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ip域名
雷嘉辉的博客
12-25 2522
https://dns.aizhan.com/
通过IP域名信息
AcceptedLin的博客
07-06 4458
nslookup
ip域名脚本实现
weixin_44145452的博客
11-30 2034
此脚本基于对ip138 爱站 中国站长三个反域名网站上的信息进行爬取 使用到了fake_useragent模块 安装命令pip3 install fake-useragent 脚本如下: import re, time, requests from fake_useragent import UserAgent ua = UserAgent() # ip138 headers_ip138 = { 'Host': 'site.ip138.com', 'User-Agent': ua.r
Nginx只允许域名访问禁止ip访问
Xym's Blog
12-17 2574
文章目录1.步骤 原文链接地址:Nginx只允许域名访问禁止ip访问 1.步骤 这样设置可以防止ip地址暴露出去,增强网站的安全性 打开nginx的配置文件,下面是原先的80端口的配置文件 server { listen 80 default_server; //这里的default_server要删除 server_name www.sulvblog.cn; location / { root /home/public; index index.html index.htm; } }
hosts引起hotmail登录页面无法显示
congci123456的博客
10-15 1034
最近要给客户发一PDF格式的文件,自己使用的是hotmail的邮箱,结果碰到一系列的问题,记录下来 1,刚开始准备用手机发邮件,正在使用的是中兴BLADE A1,系统是andriod 5.1,最开始上手时因为OUTLOOK...
域名批量询工具两套装
02-13
域名批量询工具是网络管理员、SEO专家以及域名投资者在日常工作中不可或缺的辅助软件。它能够高效地询大量域名的相关信息,比如域名是否已注册、注册商、注册日期、到期日期、域名状态等,大大提高了工作效率。...
IVBD『2019渗透测试域名泛滥劫持教程』
11-04
在这个“2019渗透测试域名泛滥劫持教程”中,IVBD团队与麒麟安全组合作,分享了关于如何进行此类测试的专业知识。 【域名泛滥劫持】是一种攻击手段,攻击者通过滥用DNS(域名系统)的弱点,将用户的流量重定向到...
国内SRC漏洞挖掘经验和技巧分享.pdf
09-10
2. SRC的规则:漏洞挖掘中的个人经验和技巧分享中,SRC的规则也是非常重要的,包括信息收集、域名收集、IP段收集、端口扫描等方面。 3. 漏洞挖掘技巧:漏洞挖掘中的个人经验和技巧分享中,漏洞挖掘技巧也是非常重要...
某盟面试经验分享.pdf
07-02
- 可通过二级域名让服务器主动发送包,如邮件或敏感信息泄露。 - 利用DNS历史解析记录IP。 7. **文件上传漏洞**: - %00截断:在PHP<5.3.29且GPC关闭时,%00会被识别为字符串结束符,绕过文件扩展名检。 ...
个人电脑架设FTP服务器[归类].pdf
10-13
【个人电脑架设FTP服务器】涉及的主要知识点包括: 1. **FTP简介**:FTP(File Transfer Protocol)是文件传输...然而,需要注意的是,架设FTP服务器也需关注网络安全问题,防止未授权的访问和潜在的数据泄露风险。
nginx 的 HTTPS 安全配置及 TLS 1.3 踩坑
五侠的博客
08-10 6237
nginx 的 HTTPS 安全配置及 TLS 1.3 踩坑防止默认配置导致暴漏域名生成证书配置默认网站ssl_reject_handshake 指令TLS安全配置TLS 1.3 使用 防止默认配置导致暴漏域名 通过IP扫描,然后浏览器HTTPS访问会在证书里暴漏网站域名。 或者通过访问已知的,未配置HTTPS证书的域名,会暴漏有证书的第一个域名 有两种方式,一种是生成一个证书配置一个default_server。 一种是通过nginx 1.19.4 以后的ssl指令配置default_server。 生成
https请求异常引发(Received fatal alert: unrecognized_name):如何快速解决项目中问题?
最新发布
zhao_xinhu的博客
08-03 3194
本篇文章中遇到的问题个人觉得算是奇葩问题,首先代码没大问题,也许涉及到https本质问题,确实没有解决这方面问题的经验和能力。但是这个问题前前后后解决了快3天,这个时间不敢恭维。回头想一下遇到这种问题,了几种方式不行就,直接换开发语言。
tcpdump命令详解
热门推荐
wj31932的博客
06-05 11万+
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。
linux下开机启动443端口,程序无法访问解决方法
北城青的博客
10-24 4393
前言:最近,有一个项目需要用到开机自动启动程序,所以就研究了一下,环境为redhat8,程序是node,使用forever来进行node程序的持久化,程序使用的是443端口,开启的是https
宝塔禁止直接用IP访问与防止SSL泄露IP
m0_61879882的博客
04-13 3716
使用CDN后,宝塔Nginx配置只允许域名访问 禁止直接IP访问 防止SSL泄露IP 返回ERR_EMPTY_RESPONS
javax.net.ssl.SSLProtocolException: handshake alert: unrecognized_name
晴空的专栏
09-10 7828
服务器频繁抛出错误信息如下:
javax.net.ssl.SSLProtocolException: handshake alert: unrecognized_name
Java陈小白
01-19 1741
设置系统属性:System.setProperty(“jsse.enableSNIExtension”, “false”);(执行前)
别让SSL证书暴露了你的网站服务器IP
Free雅轩的博客
04-19 942
我们通常会用cdn套到服务器ip上,来为网站或者后端程序做加速、防御。可是nginx在设计上有个小缺陷,会因为ssl证书泄露网站的原IP 原理 用Nginx部署网站,在默认或不正确的配置下,网站开启ssl,直接访问ip的443端口,即ip:443,Nginx会返回默认一个站点的ssl证书,间接的能让别人扫到这个ip对应的域名。 原理就是对ip的443端口发送clienthello,对方回复的 serverhello中有ssl证书,ssl证书里的common name 有域名信息。这样就知道了解析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员白城

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值