
Nginx 拒绝错误SNI请求以防止源站被扫描
AI-摘要
WenWen GPT
AI初始化中...
介绍自己
生成本文简介
推荐相关文章
前往主页
前往tianli博客
Nginx 1.19.4 版本新增了一个配置参数 ssl_reject_handshake,允许服务器在 SSL/TLS 握手阶段拒绝具有错误 Server Name Indication (SNI) 的客户端连接。SNI 是一种扩展的 TLS 握手协议,允许客户端在建立连接时指定要连接的服务器名称,这主要用于支持多个 SSL 证书在一个 IP 地址上。
在某些情况下,攻击者或扫描工具可能会尝试使用错误的 SNI 值来探测或扫描服务器,从而可能暴露服务器的源站 IP。通过启用 ssl_reject_handshake 参数,Nginx 服务器可以拒绝这些具有错误 SNI 的连接请求,增加一层安全性。
简单来说,这个新配置可以帮助 Nginx 服务器防止被某些互联网扫描工具(如 Censys)通过错误的 SNI 请求探测出其源站 IP 地址,从而增强了服务器的安全性。
在server块里listen(监听端口)下添加一行
ssl_reject_handshake on;
完整配置举例:
server {
listen 80;
listen 443 ssl;
ssl_reject_handshake on;
#....
}
ps: 也可以在后面追加一个return 444断开链接
return 444;
- 感谢你赐予我前进的力量
赞赏者名单
因为你们的支持让我意识到写文章的价值🙏
本文内容可能来自互联网,采用 CC BY-NC-ND 4.0 协议,完整转载请注明来自 404N
评论
匿名评论
隐私政策
你无需删除空行,直接评论以获取最佳展示效果