简 介

Shodan是个啥？之前没听说过吗？那可要小声说你是做安全的，会被人笑话。如果说百度、谷歌是名门正派，那Shodan就是典型的魔教一般的存在；如果百度、谷歌是一招一式都遵规守矩的江湖大侠，那Shodan就是专踢人裤裆的市井混混。和百度、谷歌干的事儿类似，但Shodan专搜各家各户IT系统设备的软肋。好人用了他可以发现自己的漏洞及时修复，恶人用了他也可以助纣为虐，大耍流氓。无论你是厌他还是爱他，他都是做安全的人绕不开的一个存在。

做安全的人当然个个都想做伸张正义、威风凛凛的大侠，但千万别让人用Shodan踢了你的裤裆，那样不仅丢人，而且要命。

4.1 Shodan

Shodan（撒旦黑暗）搜索引擎是由Web工程师是由约翰·马瑟利（John Matherly）于2009年开发的，被业内称为“最可怕的搜索引擎”。

Shodan的用法与Google大致相同，但根本区别在于Shodan不是在网上搜索网址，而是直接进入互联网的背后通道。Shodan可以说是一款“黑暗”谷歌，一刻不停地在寻找着所有和互联网关联的服务器、摄像头、打印机、路由器等。

Shodan具备惊人的搜索能力，每个月Shodan都会在大约5亿个服务器上日夜不停地搜集信息。凡是联接到互联网的红绿灯、安全摄像头、家庭自动化设备以及加热系统等等都会被轻易的搜索到。利用Shodan强大的搜索功能可以帮助安全从业者对互联网平台进行安全审计，但如果被互联网上不怀好意者利用，也可成为他们搜集信息伺机攻击的“帮凶”。

Shodan的常见语法，如表3-1所示。

表3-1 Shodan的常见语法

1）Shodan的基本使用方法

登录Shodan官网即可登录此搜索引擎。如图4.1所示。

图4.1 Shodan网站

登录后应首先注册账户再使用，如果不注册直接使用，功能上会有诸多限制，比如：不可以过滤条件等等。

要执行搜索在搜索引擎框中输入要审计的网站公网IP地址，点击搜索按钮后，返回的结果如图4.2所示。

图4.2 搜索地址返回信息

此网站地址所属的国家、地区、平台、开放的端口等信息全部展示出来。从中可以看出此网站的安全漏洞非常明显，使用的Web服务器版本信息一览无余。

如果要搜索摄像头，在搜索框中输入“webcam”，也可以两个关键字结合使用，如输入“city:beijing webcam”，即是搜索北京的摄像头，如图4.3所示。

图4.3 搜索位于北京的摄像头

随便点击一个IP地址进入链接页面，即可看到关于这个IP地址的详细信息，右侧展示的为对外开放的全部端口号，如图4.4所示。

图4.4开放的端号信息

在3.12页面向下拉，左侧可以看到该地址所连设备存在的安全漏洞信息，如图4.5所示。

图4.5漏洞信息

使用Shodan搜索引擎也通过端口号进行搜索，如：“port:3306,1433”等，点击搜索按钮后，返回开放了3306和1433端口的网址信息。如图4.6所示。

图4.6 基于端口号搜索

点击任意一个公网IP地址链接，可以进一步查看详情。从图4.7可以看出，之所以被shodan扫描并发现数据库端口，是因为该机构信息平台的安全管理严重忽视导致。

根据以往课程中学习到的知识，大家都知道：数据库端口通常不需要在互联网开放，数据库端口也完全可以改成非标准端口，以及仅允许必要的IP地址访问数据库等，这些常规的安全手段都可以提高互联网平台的安全性。正是因为态度上的忽视，才导致了互联网平台存在巨大的安全隐患。

2）Shodan扫描的防范方法

做好互联网平台自身的安全防护

虽然Shodan以其强大的搜索引擎可以发现海量的网站信息以及安全漏洞，但是首先应该做好网站自身的安全防范，如：配置严格的安全策略、部署WAF防火墙、部署IPS等安全设备，这些都可以大大提升互联网平台的安全性。做好基本的安全防护，即使被Shodan扫描，也保证其获得的信息是非常有限的，这样可以在很大程度上降低安全风险。

将Shodan的IP地址纳入防火墙黑名单

国内外的一些威胁情报平台定期会更新Shodan扫描器的地址，比如ISC SANS威胁情报平台，提供的Shodan扫描器IP地址信息，截选的部分截图，如图4.7所示。

图4.7 ISC SANS平台提供的Shodan扫描器

Shodan扫描器执行扫描过程中也会暴露出自己的IP地址，如图4.8所示。

图4.8 Shodan扫描器扫描器的IP地址

通过收集整理Shodan扫描器的IP地址，纳入防火墙的黑名单。图4.9即是互联网用户整理的Shodan扫描器部分IP地址的截图。

图4.9 Shodan扫描器部分IP地址

虽然Shodan扫描器遍布世界各地，不能保证将所有扫描器IP都抵挡在外，但只要我们足够勤奋及时更新，也可以在很大程度上抵御Shodan扫描器的扫描攻击。

举报/反馈