随着技术的进步和社会联系的日益紧密,您的数字设备出现在全谱搜索引擎上的机会急剧增加。资产和设备所有者可能会选择有意将他们的设备暴露在公共互联网上,但有些人并没有意识到这种可能性,并且在不知不觉中面临更高的网络攻击风险。查询联网资产的能力对于管理攻击面至关重要,而Shodan.io可以支持这些努力。什么是SHODANShodan(www.shodan.io)是一个基于Web的互联网连接设备搜索平台。该工具不仅可用于识别联网计算机和物联网/工业物联网(IoT/IIoT),还可用于识别联网工业控制系统(ICS)和平台。此外,可以从搜索结果中收集潜在的漏洞、默认密码和其他攻击元素。与漏洞工具、日志聚合器和票务系统的集成使Shodan能够无缝集成到组织的基础架构中。Shodan是一个搜索引擎,允许用户使用各种过滤器搜索连接到Internet的各种类型的服务器(网络摄像头、路由器、服务器等)。有些人还将其描述为提供横幅的搜索引擎,横幅是服务器发送回客户端的元数据。这可能是有关服务器软件的信息、服务支持的选项、欢迎消息或客户端在与服务器交互之前可以找到的任何其他信息。Shodan主要在Web服务器(HTTP/HTTPS–端口80、8080、443、8443)以及FTP(端口21)、SSH(端口22)、Telnet(端口23)、SNMP(端口161)、IMAP(端口143或(加密的)993)、SMTP(端口25)、SIP(端口5060)和实时流协议(RTSP,端口554)。后者可用于访问网络摄像头及其视频流。Shodan于2009年由计算机程序员JohnMatherly推出,他在2003年萌生了搜索连接到互联网的设备的想法。Shodan这个名字是参考了SystemShock视频游戏系列中的角色SHODAN。SHODAN的潜在用例Shodan的一个关键特性是它用作减少攻击面的工具,能够读取任意数量的互联网连接目标,包括ICS和IIoT。通过拉回联网设备的旗帜,Shodan可以找到搜索过滤器的任意组合,以缩小搜索结果的范围,专门针对潜在易受攻击的设备。以下是减少攻击面的一些常见用例搜索。2015年12月,包括ArsTechnica在内的各种新闻媒体报道称,一名安全研究人员使用Shodan识别了数千个系统上可访问的MongoDB数据库,其中包括一个由macOS安全工具MacKeeper的开发商Kromtech托管的数据库。2021年11月,PCMagazine描述了AT&T如何使用Shodan检测受恶意软件感染的物联网设备。评估常见资产风险概况每个发现代表一个不同的系统,每个系统可能有许多服务条目运行在不同的端口上。对于暴露的每个系统、服务和端口,提出以下问题:1.为什么需要运行这个系统和服务?默认情况下,设备通常启用正常操作不需要的功能。2.需要把这个系统、服务、端口暴露到互联网上?管理工具可能会无意中配置为在具有Internet访问权限的接口上进行连接。3.该系统、服务或端口是否位于VPN后面?VPN添加了强大的身份验证机制并删除了与潜在对手的直接链接。4.该服务是否提供强大的多重身份验证?联系您的提供商以探索选项。5.该系统或服务最后一次完全更新是什么时候?系统未更新可能有正当的商业原因;否则,遵循变更管理流程并按时更新系统。6.这个系统或服务最后一次加固是什么时候?请咨询您的提供商以获得最佳实践和支持。有用的SHODAN搜索1.查找可访问Internet的SQL服务器:产品:“SQL”端口:“1433”2.查找在Internet上公开了SMB的可访问Internet的Windows机器:os:“windows”端口:“445”3.查找可上网的WindowsXP设备:os:"windowsxp"4.查找可上网的OPCUA发现服务器:产品:"OPC"端口:"4840"5.查找默认密码:"passwordis"or"DefaultPassword"-“必填”更多信息Shodan是一个非常强大的工具,具有广泛的搜索功能。根据所需的使用类型,有多种许可选项可用。有关Shodan.io的更多信息或进一步的搜索指南,请访问https://www.shodan.io。使用本网站扫描互联网以查找可公开访问的设备。Shodan目前向没有帐户的用户返回10个结果,向有帐户的用户返回50个结果。如果用户想取消限制,他们需要提供理由并支付费用。Shodan的主要用户是网络安全专业人士、研究人员和执法机构。虽然网络罪犯也可以使用该网站,但有些人可以访问僵尸网络,这些僵尸网络可以在不被发现的情况下完成同样的任务。注意:美国政府声称不认可任何商业产品或服务。任何对特定商业产品、流程或服务的引用,无论是通过服务标志、商标、制造商还是其他方式,均不构成或暗示美国政府对其的认可、推荐或偏袒。参考来源:维基百科、CISA官网、百度百科等。
