Shodan是个啥?之前没听说过吗?那可要小声说你是做安全的,会被人笑话。如果说百度、谷歌是名门正派,那Shodan就是典型的魔教一般的存在;如果百度、谷歌是一招一式都遵规守矩的江湖大侠,那Shodan就是专踢人裤裆的市井混混。和百度、谷歌干的事儿类似,但Shodan专搜各家各户IT系统设备的软肋。好人用了他可以发现自己的漏洞及时修复,恶人用了他也可以助纣为虐,大耍流氓。无论你是厌他还是爱他,他都是做安全的人绕不开的一个存在。
做安全的人当然个个都想做伸张正义、威风凛凛的大侠,但千万别让人用Shodan踢了你的裤裆,那样不仅丢人,而且要命。
Shodan(撒旦黑暗)搜索引擎是由Web工程师是由约翰·马瑟利(John Matherly)于2009年开发的,被业内称为“最可怕的搜索引擎”。
Shodan的用法与Google大致相同,但根本区别在于Shodan不是在网上搜索网址,而是直接进入互联网的背后通道。Shodan可以说是一款“黑暗”谷歌,一刻不停地在寻找着所有和互联网关联的服务器、摄像头、打印机、路由器等。
Shodan具备惊人的搜索能力,每个月Shodan都会在大约5亿个服务器上日夜不停地搜集信息。凡是联接到互联网的红绿灯、安全摄像头、家庭自动化设备以及加热系统等等都会被轻易的搜索到。利用Shodan强大的搜索功能可以帮助安全从业者对互联网平台进行安全审计,但如果被互联网上不怀好意者利用,也可成为他们搜集信息伺机攻击的“帮凶”。
登录Shodan官网即可登录此搜索引擎。如图4.1所示。
文章来源:https://www.toymoban.com/news/detail-811287.html
登录后应首先注册账户再使用,如果不注册直接使用,功能上会有诸多限制,比如:不可以过滤条件等等。
要执行搜索在搜索引擎框中输入要审计的网站公网IP地址,点击搜索按钮后,返回的结果如图4.2所示。
文章来源地址https://www.toymoban.com/news/detail-811287.html
此网站地址所属的国家、地区、平台、开放的端口等信息全部展示出来。从中可以看出此网站的安全漏洞非常明显,使用的Web服务器版本信息一览无余。
如果要搜索摄像头,在搜索框中输入“webcam”,也可以两个关键字结合使用,如输入“city:beijing webcam”,即是搜索北京的摄像头,如图4.3所示。
随便点击一个IP地址进入链接页面,即可看到关于这个IP地址的详细信息,右侧展示的为对外开放的全部端口号,如图4.4所示。
在3.12页面向下拉,左侧可以看到该地址所连设备存在的安全漏洞信息,如图4.5所示。
使用Shodan搜索引擎也通过端口号进行搜索,如:“port:3306,1433”等,点击搜索按钮后,返回开放了3306和1433端口的网址信息。如图4.6所示。
点击任意一个公网IP地址链接,可以进一步查看详情。从图4.7可以看出,之所以被shodan扫描并发现数据库端口,是因为该机构信息平台的安全管理严重忽视导致。
根据以往课程中学习到的知识,大家都知道:数据库端口通常不需要在互联网开放,数据库端口也完全可以改成非标准端口,以及仅允许必要的IP地址访问数据库等,这些常规的安全手段都可以提高互联网平台的安全性。正是因为态度上的忽视,才导致了互联网平台存在巨大的安全隐患。
虽然Shodan以其强大的搜索引擎可以发现海量的网站信息以及安全漏洞,但是首先应该做好网站自身的安全防范,如:配置严格的安全策略、部署WAF防火墙、部署IPS等安全设备,这些都可以大大提升互联网平台的安全性。做好基本的安全防护,即使被Shodan扫描,也保证其获得的信息是非常有限的,这样可以在很大程度上降低安全风险。
国内外的一些威胁情报平台定期会更新Shodan扫描器的地址,比如ISC SANS威胁情报平台,提供的Shodan扫描器IP地址信息,截选的部分截图,如图4.7所示。
图4.7 ISC SANS平台提供的Shodan扫描器
Shodan扫描器执行扫描过程中也会暴露出自己的IP地址,如图4.8所示。
通过收集整理Shodan扫描器的IP地址,纳入防火墙的黑名单。图4.9即是互联网用户整理的Shodan扫描器部分IP地址的截图。
虽然Shodan扫描器遍布世界各地,不能保证将所有扫描器IP都抵挡在外,但只要我们足够勤奋及时更新,也可以在很大程度上抵御Shodan扫描器的扫描攻击。