MENU

空间测绘系列之-Shodan云监测功能分析

February 27, 2020 • 产品经理阅读设置

上接空间测绘系列之 - Shodan 功能总览,本文是对Shodan 四大版块中相对独立板块中的云监测模块的分析。

官方介绍描述

Keep track of the devices that you have exposed to the Internet. Setup notifications, launch scans and gain complete visibility into what you have connected.

可以简述为:通过扫描了解设备在互联网上的暴露面。

shodan-images.jpg

首先将首页的介绍全部过一遍:

0x01功能特点介绍

1. 联网设备快速发现、变动监测与推送

Network Monitoring Made Easy.

Within 5 minutes of using Shodan Monitor you will see what you currently have connected to the Internet within your network range and be setup with real-time notifications when something unexpected shows up.

  • 联网设备快速发现:5分钟内发现互联网上暴露的设备
  • 变动监测
  • 实时消息推送

2. 监控规模自适应

Built to Scale

Whether you want to monitor 1 IP or you're an ISP with millions of customers - the Shodan platform was built to handle networks of all sizes without breaking a sweat.

  • 一个IP也好、百万IP也罢,都能监测

3. 安全监测

Security Beyond the Perimeter

The Shodan platform helps you monitor not just your known network but also find your devices across the Internet. Detect data leaks to the cloud, phishing websites, compromised databases and more. Shodan gives you the tools to monitor all your connected devices on the Internet.

不仅提供对设备的暴露的监测,还提供一些安全功能:

  • 云端数据泄漏
  • 钓鱼网站
  • 被攻击的数据库
  • ......

其实从个人角度讲,这些功能真的都是小儿科的,比起国内成熟的云监测、云扫描,甚至是拿着漏扫去扫都会比它效果好。

因为Shodan的监测太单薄了,“被攻击的数据库、云端数据泄漏”说白了仅仅只是各种未授权访问,加上获取数据库里面的一些勒索信息而已。

17年写这个MongoDB勒索事件现状调查报告报告的时候,发现了各类非关系型数据库未授权访问的问题,后续Shodan、BinaryEdge也加入了相关的监测,并实现了相应的功能。

4. 精简化Dashboard

Just the Facts

Tired of busy dashboards with too much unnecessary information? Shodan Monitor is designed to help you quickly hone in the most important issues. Take advantage of our years of experience crawling the Internet to provide context and filter out the noise.

  • 直击重点的精简大屏

这个简直对现在国内厂商来说简直是暴击啊。从2017年到2020年这三年间接触到的To B业务来看,可视化大屏在一个完整的系统里面真的是太抓人眼球了,在领导参观、重保等场景下必不可缺。一块屏动辄10w、20w甚至能更高。

但很多系统中的可视化大屏实际的意义并不大,既不能产出真实、有意义的成果,又不能真正刻画出数据的内涵,仅仅是为了在某些场景下、某些时间内当个摆设,而刻意的炫酷和好看。要知道,炫酷好看 != 数据可视化。我个人认为的数据可视化重点在对数据的理解、刻画和抽象表达,做出的东西并不一定好看,但是一定是直观且深入人心的。

其实关于可视化相关的可以单独再写一个系列了,这里就不再展开。

0x02 辅助组件

shodan-MONITOR-COMPONENTS.jpg

1. 友好的API

Developer-friendly API

All features of the Shodan Monitor website are also available via the Shodan API and command-line interface.

  • 所有的监测功能都可以用API和CLI的方式调用

要知道,现在市面上的各类空间测绘引擎只有Shodan的API、SDK、CLI是最多、最全的,算上是自称的Developer-friendly

2. 按需扫描

On-Demand Scanning

Use Shodan's global infrastructure to scan networks to confirm that an issue has been fixed.

  • 能够调用Shodan分布在全世界的扫描引擎进行扫描

3. API订阅

Batteries Included

A subscription to our API plans gives access to Shodan Monitor, the search engine, API and a whole range of websites.

  • 通过API订阅访问监控系统

4. FAQ、操作视频

shodan-MONITOR-FAQ-Video.jpg

1. 常见问题

能监控多少IP

这里让你去充钱后参考开发者页面,其实直接看价格表即可(自己花了多少钱,心里没点数吗):

shodan-price-network-monitor.jpg

  • 5120个到30w个IP

需要手工提交扫描任务吗?
不需要,Shodan会自动化持续监测。但是也支持手工创建扫描。

获取事件原始信息
可以,在网络告警流(Network Alerts stream)中包含原始信息。

2. 操作视频

由于Shodan这个功能是付费的无法看的,因此这个视频提供了全部的界面和真实使用流程。

0x03 云监测流程

1.添加监测资产

shodan-network-monitor-step0.jpg

这里一共有两种,一种是IP类型的,另一种是域名。

网段类型

这一步主要输入以下信息:

  • 监测任务名称
  • IP地址段(注意,只支持IP,不支持域名)

shodan-network-monitor-step1.jpg

在页面右上角可以看到当前账号剩余的IP数量。

域名类型

这一步主要输入以下信息:

  • 域名

shodan-network-monitor-step1-domain.jpg

注意页面上有一段提示:

Shodan Monitor automatically discovers the subdomains and associated IPv4 addresses (A records) of the domain you enter. A network alert is managed based on the DNS information. Anytime your DNS information changes the network monitoring is automatically updated

可以看出,包含如下功能:

  • 子域名枚举
  • 关联所有域名、子域名对应的A记录IP地址
  • 自动监控DNS解析
  • 监测跟随DNS解析变动

另外当完成输入域名后,在输入框下有一段蓝色的超链接:

2.选择告警推送邮箱

  • 选择消息通知的邮箱

在配置里可以设置多个接收告警的邮箱

3.查看资产监控列表

shodan-network-monitor-step2-manage-assets.jpg

可以看出列表主要是三个部分:

  • 资产本身的信息(名称、域名;IP、网段;IP地址数量)
  • 监测模块
  • 操作按钮(edit编辑、Rescan Network重新扫描、Remove删除)

可以看到监测的模块默认支持:

  • malware
  • open_database
  • iot
  • internet_scanner
  • industrial_control_system
  • new_service
  • ssl_expired
  • vulnerable

其实这些在首页的介绍里面已经出现了大部分,但是在编辑里面还会看到一个默认未启用的模块uncommon,每个选项后面还自带一个解释说明:

shodan-network-monitor-step3-edit.jpg

总结如下:

模块名称原始说明解释翻译
industrial_control_systemaria-label="Services associated with industrial control systems"工控系统
malwareCompromised or malware-related services已被攻破的、或者恶意软件相关的服务
open_databaseDatabase service that does not require authentication未授权访问的数据库
iotService associated with Internet of Things devicesIoT相关设备开放的服务
internet_scannerDevice has been seen scanning the Internet and exposes a service公网开放的服务
new_serviceNew open port/ service discovered新发现的端口或服务
ssl_expiredExpired SSL certificate is used by the service过期的SSL证书
vulnerableService is vulnerable to a known issue存在已知漏洞
uncommonServices that generally shouldn't be publicly available公网上不常见(不应该出现)的服务

4.查看dashboard

配置好多个列表以后:
shodan-network-monitor-step5-1.jpg

可以看到Dashboard:

shodan-network-monitor-step5-2.jpg

看上去还真的和功能特点中描述的一样:hone in the most important issues 简单直白

主要分为三大模块6小部分:

  1. 数量总计
  2. 服务信息

    • Top Open Ports:Top10开放端口统计
    • Notable Ports:Top10不常见开放端口统计
    • Top Vulnerabilities:Top5 漏洞
    • Potential Vulnerabilities:Top5 可能存在的漏洞
  3. 网段资产地图

A heat map of open ports by IP address. Light red means fewer ports, bright red means more ports and grey means there's no information available.

  • 即IP网段的热力图,颜色越深,开放端口数量越多

点击漏洞就会进入检索页面进行搜索:net:xx.xx.xx.xx/24 vuln:MS15-034

shodan-network-monitor-vul.jpg

5. 告警邮件

shodan-network-monitor-email.jpg

0x04 总结

通过上述过程,就将Shodan云监测相关的全部功能分析完了,最后画个脑图做下梳理:

Shodan Network Monitor.png

Archives QR Code
QR Code for this page
Tipping QR Code