前几天看到个帖子《DMIT所有IP的SSL元信息数据库下载》
扫描的原理就是通过 https:// + IP 方式访问,然后TLS握手会返回证书,从而获取到域名
帖子里可以看到被扫出来的还不少,有用Nginx的可以在配置文件中添加以下内容防止被扫
以443端口为例:
server { listen 443 ssl default_server; listen [::]:443 ssl default_server; server_name _; ssl_certificate /path/dummy.crt; # 随便写个路径就行,路径可以不存在 ssl_certificate_key /path/dummy.key; # 随便写个路径就行,路径可以不存在 return 444;}