09.10 Shodan：互聯網上一切事物的搜索引擎

Shodan能搜到互聯網上的一切東西。谷歌及其他常見搜索引擎只索引Web頁面，Shodan索引網上一切——網絡攝像頭、汙水處理設備、遊艇、醫療設備、交通信號燈、風力渦輪發電機、駕照讀取器、智能電視機、智能冰箱；

只要聯網，沒有什麼是Shodan搜不到的。

瞭解Shodan強大搜索能力的最佳方法是去讀其締造者 John Matherly 的書。

基本算法倒是簡單易用，如下：

1. 產生一個隨機IPv4地址

2. 從Shodan理解的端口列表中生成要測試的隨機端口

3. 在該隨機端口上檢查該隨機IPv4地址並獲取旗標

4. 返回第1步

就這麼簡單。找出所有東西，索引所有東西，讓一切都可搜索。

Shodan工作機制

開放端口上的服務都有各自的旗標。旗標向整個互聯網公開聲明自己提供的服務及互動方式。Shodan給出的FTP旗標樣例如下：

220 kcg.cz FTP server (Version 6.00LS) ready.

雖然Shodan不索引Web內容，但確實會查詢80和443端口。CSOonline網站的https旗標就長這樣：

$ curl -I https://www.csoonline.com

HTTP/2 200

server: Apache-Coyote/1.1

x-mod-pagespeed: 1.12.34.2-0

content-type: text/html;charset=UTF-8

via: 1.1 varnish

accept-ranges: bytes

date: Fri, 25 May 2018 14:16:18 GMT

via: 1.1 varnish

age: 0

x-served-by: cache-sjc3135-SJC, cache-ewr18125-EWR

x-cache: HIT, MISS

x-cache-hits: 2, 0

x-timer:

S1527257779.808892,VS0,VE70

vary: Accept-Encoding,Cookie

x-via-fastly: Verdad

content-length: 72361

其他端口上的其他服務提供特定於服務的信息。公開的旗標信息是真是假並不保證。但大多數情況下是真的，且故意公佈誤導性旗標的做法也是通過隱匿來實現安全。

一些企業禁止Shodan爬取其網絡，Shodan也尊重他們的選擇。但是，攻擊者並不需要Shodan找出你網絡中的脆弱設備。封禁Shodan可能避免一時的尷尬，但並不能改善你的安全態勢。

Shodan令人驚恐

不瞭解互聯網運作機制的非技術人員對Shodan驚恐不已。2013年時，CNN將Shodan稱為“互聯網上最令人恐懼的搜索引擎”。怎麼可以讓黑客知道所有電廠的位置好方便他們炸飛電廠呢？這太可怕了！

這顯然是無知引起的誇張反應。意圖造成傷害的攻擊者並不需要Shodan來發現目標。這是運行zmap的殭屍網絡的工作。Shodan真正的價值在於幫助防禦者更加了解自己的網絡，獲得自身網絡更多的可見性。

如果不知道自己必須守護好什麼，怎麼開展防禦工作？而這一點對企業和整個社會來說都是一樣的。我們如今身處的世界裡，數字網絡與物理實體互通互聯，設備眾多，分佈廣泛，漏洞與弱點多如牛毛，而Shodan能賦予我們對這個不安全世界更為全面的可見性。

用Shodan輔助防禦

現代企業的互聯網暴露面通常比企業自身以為的要大。員工將各種設備接入網絡以完成自身工作，還有影子IT在倍增互聯網暴露面。所以，企業安全團隊面臨的是一個不斷擴大的攻擊界面。

Shodan可以很方便地搜索子網或域名，查找出聯網設備、開放端口、默認憑證，甚至已知漏洞。攻擊者能看到同樣的東西，所以，在他們決定攻擊之前先補好漏洞未雨綢繆比較好。

很多設備都會在旗標中公開聲明自己的默認口令。比如思科設備，會廣播默認的用戶名/口令組合“cisco/cisco”。在攻擊者之前搶先找出自己網絡中的這些設備似乎是個不錯的主意。

Shodan還能查找易遭特定漏洞攻擊的脆弱設備，比如心臟出血。除了幫助防禦者發現設備以預設安全措施，Shodan還能幫助滲透測試員收集信息——在掃描嗅探客戶整個子網方面，Shodan比Nmap快速隱秘得多。

付費用戶還可以使用API，能在所監測的網絡中有新設備加入時獲得通知，不失為一種便宜而有效的網絡監控措施。

停止往互聯網上添加糟糕設備

然而，Shodan最著名的方面，卻可能是提升了公眾對互聯網被接入大量不安全關鍵基礎設施的認知。Shodan的互聯網繪圖能力可以量化互聯網面對的系統性安全問題，供記者撰寫文章，決策者辯論分析，解決方案處理問題。

拿ICS/SCADA做個例子。工業控制系統早於互聯網面世，設計時沒考慮過網絡安全問題。這些系統本就沒有接入全球互聯網的意圖，物理安全控制更多著眼的是防止惡意攻擊者將未經處理的汙水直接倒入飲用水供應之類的問題。

但時移世易，本無意接入互聯網的關鍵基礎設施如今也就在攻擊者幾次跳轉便可達的範圍內。Shodan讓人們可以很方便地搜索這些系統，拉響了關鍵基礎設施的網絡安全警報。汙水處理設施、大壩、焚屍爐、遊艇，這些東西無論何種情況下都應接入互聯網嗎？或許不應該如此，而Shodan令提高對這一問題的認知更加容易了。

類似的，一大波不安全IoT設備湧入千家萬戶，從聯網咖啡機到智能性愛玩具到聯網冰箱，零零總總不一而足。市場明顯不能為這些設備選擇強網絡安全，監管者也很大程度上無法介入以要求更強的網絡安全控制。更糟的是，破產或者乾脆放棄對所生產設備支持的IoT製造商，將消費者留在了既不安全又無法補救的深淵——這些設備很容易淪為殭屍網絡指揮下的傀儡。不安全IoT給整個互聯網帶來的系統性風險不能被低估。

非技術人員發現Shodan時最初的那聲驚呼，正是市場和令這一狀況得以發展的監管力量的最佳目標。

基本要素

Shodan是免費的，但免費賬戶所能得到的結果有數量限制。高級過濾器功能需要付費(49美元永久有效)。需要大量實時數據流的開發者和企業用戶也能購買付費會員權益。

保護公司免於陷入尷尬境地或許有公關方面的價值，但並不能帶來安全價值。Shodan能賦予公司對外部及其他公司安全態勢的可見性。

互聯網安全欠賬越積越多。Shodan能使我們更加清晰地看到這一問題，無論這會讓某些非技術人員有多不舒服。

閱讀更多 安全牛 的文章

關鍵字: 黑客 設計 網絡安全