最近，大家的注意力都聚焦在一個(gè)名為“Shodan”的搜索引擎上，甚至可能有人形容Shodan是“最可怕的搜索引擎。”這款滲透測試搜索引擎揭露出關(guān)鍵架構(gòu)如網(wǎng)絡(luò)服務(wù)器、路由器甚至是打印機(jī)都會(huì)讓黑客有機(jī)可乘，從而對(duì)小企業(yè)乃至公共設(shè)施發(fā)起攻擊。

在恐慌接連發(fā)生之時(shí)，讓我們先縮小一下范圍，其實(shí)Shodan并不是新出現(xiàn)的，其網(wǎng)站在2009年就發(fā)布了，根據(jù)它自己的口號(hào)描述，Shodan與谷歌不同，因?yàn)樗荚谡译娔X，而不是找內(nèi)容。這聽起來像是黑魔法，但是其實(shí)Shodan的核心技術(shù)非常簡單。

Shodan背后

當(dāng)你連接到一個(gè)服務(wù)器，而這個(gè)服務(wù)器又是收聽給定端口時(shí)，這個(gè)服務(wù)器通常都會(huì)與一個(gè)“標(biāo)語”響應(yīng)。這個(gè)標(biāo)語其實(shí)是一個(gè)文本攔截，里面對(duì)服務(wù)進(jìn)行了詳述，比如：

HTTP/1.0 401 Unauthorized

Date: Thu, 08 Jan 1970 18:04:00 GMT

Server: Boa/0.93.15 (with Intersil Extensions)

Connection: close

WWW-Authenticate: Basic realm="LOGIN Enter Password (default is medion, ignore username)"

Content-Type: text/html 　　這是對(duì)運(yùn)行Boa的服務(wù)器進(jìn)行描述的標(biāo)語，Boa是一個(gè)被設(shè)計(jì)為運(yùn)行于嵌入式平臺(tái)(包括安卓服務(wù))之上的Web HTTP服務(wù)器。這個(gè)標(biāo)語可以識(shí)別運(yùn)行軟件的版本和一個(gè)默認(rèn)密碼。

Shodan的會(huì)在全球查詢IP地址，在若干常見端口查找和保存標(biāo)語響應(yīng)。Shodan搜索可以讓用戶在這些標(biāo)語中查詢關(guān)鍵詞，通過元數(shù)據(jù)(如端口和IP地址或域名)進(jìn)行過濾。

Shodan披露的任何“可怕的”漏洞都會(huì)出現(xiàn)在標(biāo)語信息中。記住，這些標(biāo)語只是一種信息，且并非總是精準(zhǔn)。

例如，有些像上面示例中那樣簡單的標(biāo)語就披露了默認(rèn)密碼。但這并意味著它就是網(wǎng)站真正配置的密碼;它表示的只是軟件默認(rèn)的設(shè)置。一個(gè)有安全意識(shí)的管理員在配置服務(wù)器時(shí)肯定要更改密碼。

哪些人要提防Shodan？

那些因Shodan等工具而存在風(fēng)險(xiǎn)的設(shè)備都是不需要聯(lián)網(wǎng)且使用默認(rèn)配置文件的設(shè)備。Shodan并不是黑客找到這些設(shè)備的唯一方式，但是Shodan卻減少了黑客查找的障礙。

有些通過Shodan暴露的東西很早就可以從谷歌查到了。即便谷歌索引中出現(xiàn)的是內(nèi)容而非服務(wù)器標(biāo)語，可了解特定查詢字符串的黑客們也能夠找到誤配置的服務(wù)器，打印機(jī)和網(wǎng)絡(luò)攝像頭。這些查詢模板被稱作“Google dork”，它們?cè)缭赟hodan之前就存在了。

關(guān)鍵在于，不論是谷歌dork還是Shodan都為企業(yè)帶來了威脅。企業(yè)設(shè)備的曝光自然會(huì)讓企業(yè)陷入威脅之中。

如何把Shodan威脅最小化？

靠譜的安全實(shí)例可以把Shodan這類滲透測試工具的威脅最小化或是減弱：

1、限制面向公共網(wǎng)絡(luò)的服務(wù)器和設(shè)備：許多通過Shodan暴露的設(shè)備一開始就不應(yīng)該聯(lián)網(wǎng)。你的網(wǎng)絡(luò)打印機(jī)，網(wǎng)絡(luò)攝像頭或文件服務(wù)器都需要訪問公共互聯(lián)網(wǎng)嗎?又或者僅僅訪問內(nèi)部LAN就可以了?

在一些案例中，限制連接LAN的設(shè)備僅僅是網(wǎng)絡(luò)配置方面的事情而已?；蛟S，你可以對(duì)網(wǎng)絡(luò)防火墻進(jìn)行配置，使其攔截對(duì)這些設(shè)備的訪問。

2、當(dāng)你需要外部訪問的時(shí)候使用VPN或IP過濾器：如果員工或合作對(duì)象需要從外部網(wǎng)絡(luò)訪問你的內(nèi)部資源，比如打印機(jī)，攝像頭或文件共享——可通過防火墻的IP過濾器對(duì)其進(jìn)行限制。最好是要求他們使用VPN。這樣可以阻止Shodan等工具找到你的設(shè)備。

3、經(jīng)常更改密碼：不論你的服務(wù)器標(biāo)語是否會(huì)顯示這一信息，大多數(shù)設(shè)備都有出廠默認(rèn)密碼。攻擊者可以在網(wǎng)上找到這些信息，特別是如果他們已經(jīng)識(shí)別出你設(shè)備制作和模式時(shí)，如通過標(biāo)語數(shù)據(jù)。修改一下默認(rèn)密碼，Shodan上顯示的大部分機(jī)器都可以增添一份安全。

4、縮短標(biāo)語內(nèi)容：一些服務(wù)器軟件可以讓你對(duì)標(biāo)語進(jìn)行自定義設(shè)置。許多標(biāo)語透露的默認(rèn)信息比較多。攻擊者可以利用這里面的信息，如服務(wù)器版本和安裝模塊來挖掘安全漏洞，再利用這些漏洞搞破壞。

記住，Shodan只是索引標(biāo)語。即便你的設(shè)備是面向外網(wǎng)，Shodan用戶能獲取的就是標(biāo)語告訴他們的信息。

5、你也用一用Shodan：你也可以使用Shodan的IP過濾來查詢企業(yè)的網(wǎng)絡(luò)。例如，這些Shodan搜索查詢會(huì)把檢索到的公共IP地址或子網(wǎng)的服務(wù)器標(biāo)語都顯示出來：

net:your.ip.add.ress

net:your.ip.add.0/24　　記住，Shodan不是查詢按要求查詢你的網(wǎng)絡(luò)。它只是查詢數(shù)據(jù)庫，所以可能并沒有訪問你的網(wǎng)絡(luò)。這不是實(shí)時(shí)滲透測試工具的代替品。

做好自己的事情

雖然有其可怕的一面，但是Shodan的底線是只幫助攻擊者查找暴露到外網(wǎng)和誤配置的設(shè)備。它并不是攻擊者用來破壞網(wǎng)絡(luò)的直接工具，除非你的網(wǎng)絡(luò)安全系數(shù)極低?？孔V的安全實(shí)例都會(huì)將攻擊者利用Shodan的威脅降到最低。