工作原理:
在服务器上部署了各种扫描器,如漏洞扫描器,硬件扫描器,目录扫描器等等,24小时不停的扫描,批量对IP地址扫描
优点:方便,很快得到最新扫描结果,漏洞信息
缺点:不够实时(可能扫到的信息是三个月之前的),24小时扫,浪费资源,收费
功能:在线查询,和离线的客户端,monitor(监控)一些IP地址,漏洞bug,然后保存,通过api接口调用,主要用于信息收集,这个东西老找到有问题的点位
Shodan搜索引擎概述
Shodan搜索引擎是一个专门用于搜索互联网上连接的设备和服务的工具。它由约翰·马瑟利(John Matherly)在2009年开发,与传统的搜索引擎不同,Shodan索引的是服务器发送回客户端的元数据,而不是网页内容。这意味着它可以揭示哪些设备连接到互联网,它们的位置,以及它们正在运行的服务和软件。Shodan常被描述为“黑客的搜索引擎”,因为它能够暴露潜在的安全漏洞和未受保护的设备。
Shodan的主要用途
Shodan的主要用途包括:
- 设备发现:可以搜索特定类型的设备,如网络摄像头、路由器、工业控制系统等。
- 漏洞发现:帮助安全研究人员和渗透测试人员发现潜在的安全漏洞。
- 地理定位:可以通过城市、国家或IP地址来定位设备。
- 端口扫描:可以搜索特定端口开放的设备,如VPN端口(1723)或远程桌面协议端口(3389)。
Shodan的使用方法
使用Shodan进行搜索通常涉及到使用一系列字符串格式的过滤器。例如,可以使用city:、port:、os:等参数来限制搜索结果。Shodan还提供了API接口,允许用户通过编程方式访问其搜索功能。此外,Shodan可以与其他工具如Maltego和Metasploit结合使用,以增强其功能
Shodan与其他搜索引擎的区别
Shodan与Google等传统搜索引擎的主要区别在于,Google的爬虫抓取网页内容并为其创建索引,而Shodan则主要寻找端口并抓取拦截到的信息,然后为这些信息建立索引。因此,Shodan是一个基于拦截器的搜索引擎,专注于设备和服务的信息,而不是网页内容2。
Shodan的安全影响
虽然Shodan可以作为一个强大的工具来发现和分析互联网上的设备,但它也可能被恶意用户利用来发现和攻击未受保护的系统。因此,了解如何使用Shodan以及如何保护自己的设备免受其影响是非常重要的
结论
总的来说,Shodan是一个功能强大的搜索引擎,它提供了对互联网上连接设备的深入了解。然而,它的使用应当谨慎,以免无意中暴露或成为安全威胁的目标。对于网络安全专业人士来说,掌握Shodan的使用方法是提高技能的重要一步。
Shodan扫描原理
Shodan搜索引擎的工作原理主要是通过扫描互联网上的设备,并抓取解析这些设备返回的banner信息。Banner信息通常包含了设备的类型、操作系统、开放的服务等重要信息。以下是Shodan扫描原理的详细解释:
设备扫描
Shodan通过扫描全网设备来收集数据。这个过程涉及到了解网络中各种设备的分布情况,包括哪些Web服务器是最受欢迎的,或是网络中到底存在多少可匿名登录的FTP服务器等。Shodan的扫描范围非常广泛,它可以搜索到各种类型的设备,如网络摄像头、路由器、工业控制系统等
Banner信息抓取与解析
当Shodan扫描到一个设备时,它会尝试与该设备建立连接,并请求其banner信息。Banner信息是设备在响应连接请求时发送的一段文本,通常包含了设备的类型、版本号、操作系统等信息。Shodan通过解析这些banner信息,可以获取到关于设备的各种细节。
数据索引与搜索
Shodan将抓取到的设备信息进行索引,以便用户可以通过关键词进行搜索。用户可以使用各种过滤器来限制搜索结果,例如通过城市、国家、IP地址、端口、操作系统等参数来查找特定的设备。这种索引和搜索机制使得Shodan成为一个强大的工具,可以帮助用户快速找到他们感兴趣的在线设备。
安全性考虑
尽管Shodan提供了一个方便的方式来发现和分析互联网上的设备,但它也可能被恶意用户利用来发现和攻击未受保护的系统。因此,在使用Shodan时,用户需要注意隐私和安全问题,避免泄露敏感信息或成为攻击目标12。
kali安装shodan过程(kali-linux好像自带了)
解决无法访问下载github的资源
无法访问GitHub,原因以及快速解决办法_github无法访问-****博客
克隆shodan
git clone GitHub - achillean/shodan-python: The official Python library for Shodan
切换到shodan-python
cd shodan-python
安装
python setup.py install
初始化shodan
shodan init api_key
查看使用帮助文档
shodan -h
国家代码:
中国:cn,日本jp,韩国kr
世界各国和地区名称代码表 - MBA智库百科
host/search参数用法
shodan search --limit 10 --fields ip_str,port country:jp (fields是对信息做筛选)
- “--limit 10”表示限制查询结果为10条。
- “--fields ip_str,port”表示只显示查询结果中的IP地址(ip_str)和端口(port)这两个字段的信息。
- “country:jp”表示搜索位于日本(Japan)的设备。
shodan search --color --limit 10 --fields ip_str port:3389 country:cn city:shenzhen
- “--color”可能是用于给搜索结果添加颜色(不过搜索结果未明确提及此参数的具体效果,可能是命令行界面的显示效果相关)。
- 同样“--limit 10”限制结果为10条。
- “--fields ip_str”表示只显示IP地址(ip_str)字段信息。
- “port:3389”表示搜索设备的3389端口(3389端口常用于远程桌面服务)。
- “country:cn city:shenzhen”表示在中国(China)深圳市的设备。
参数信息:
--limit 10 显示信息数量
--fields ip_str,port 过滤IP信息
--color 深色表示
country:国家
city:城市
3389端口:微软远程桌面
os:windows7操作系统
has_vuln:true 漏洞
device:webcam设备:摄像头
device:router设备:路由器
tp-link web端的一些设备
三、搜索语法
- 限定国家和城市
限定国家 country:"CN"
限定城市 city:"ShangHai" - 限度主机名或域名
host:.edu
hostname:”hubstc”
hostname:hubstc.com
- 限定组织或机构
org:”alibaba”
-
限定系统 OS 版本
os:"Windows Server 2008 R2"
os:"Linux 2.6.x" - 限定端口
port:22
port:80
-
指定网段
net:"59.56.19.0/24" - 指定使用的软件或产品
product:”Apache httpd”
product:”nginx”
product:”Microsoft IIS httpd”
product:”mysql”
-
指定 CVE 漏洞编号
vuln:"CVE-2014-0723" - 指定网页内容
http.html:“hello world“
- 指定网页标题
http.title:”hello”
- 指定返回响应码
http.status:200
- 指定地理位置
geo:"31.25,121.44"
- 指定 ISP 供应商
isp:"China Telecom"
- 指定协议及其漏洞
ssl:"heartbleed"
- 指定 ASN 自治系统号
asn:"AS4134"
- 指定历史数据
timestamp:"2022-01-01"
补充内容:3389端口的网络安全问题
3389端口作为Windows远程桌面协议(RDP)的默认端口,虽然为用户提供了一种便捷的远程管理和控制计算机的方式,但同时也带来了一些潜在的网络安全风险和问题。
未经授权的访问
如果3389端口没有进行适当的保护,攻击者可能会尝试使用暴力破解、字典攻击或已知漏洞来获取远程桌面的访问权限。一旦获得访问权,就可以控制整台计算机,进而访问敏感数据、安装恶意软件或进行其他非法活动。
数据泄露
远程桌面会话中的数据传输,如果未加密,可能会被中间人攻击者截获,导致敏感信息泄露。这不仅会对个人隐私造成威胁,也可能对企业造成严重的经济损失。
恶意软件感染
攻击者可能会通过远程桌面会话上传恶意文件,并在目标计算机上执行,从而感染整个系统。这可能导致系统崩溃、数据丢失或其他严重的安全问题。
性能影响
如果大量用户同时通过3389端口进行远程连接,可能会对服务器的性能产生较大影响,导致响应速度变慢、资源占用率高等问题。这对于企业级应用来说,可能会严重影响工作效率和服务质。
管理复杂性
开启3389端口意味着需要更多的安全管理措施来确保远程连接的安全性。这包括设置强密码、限制访问权限、定期更新补丁等,增加了管理的复杂性和成本。对于IT管理人员来说,这无疑增加了额外的工作负。
封禁必要性
鉴于3389端口存在的安全风险和问题,封禁危险端口成为了保障系统安全的重要措施之一。通过封禁危险端口,可以限制未经授权的远程访问,降低系统被攻击的风险。同时,封禁不必要的端口还可以减少潜在的安全漏洞和攻击面,提高系统的整体安全性。
3389端口存在的CVE漏洞:
CVE-2019-0708
这是一个影响广泛的Windows RDP漏洞,影响的系统包括Windows 2003、2008、2008 R2、XP及Win7。该漏洞允许攻击者通过远程桌面端口3389,利用RDP协议进行攻击,可能导致系统蓝屏。建议的修复措施包括打补丁、关闭3389端口或启用NLA。
MS12-020
这个漏洞可导致服务器重启或蓝屏,影响范围从XP到2003、2008、Win7等多个版本。这个漏洞的存在使得许多系统容易受到攻击,因此强烈建议用户及时打上补丁。
CVE-2016-2183
这是一个SSL/TLS协议信息泄露漏洞,虽然不是直接针对3389端口,但与通过该端口进行的SSL通信有关。这个漏洞可能被攻击者利用来获取敏感信息,建议避免使用DES算法来加强安全性。