如何从Shodan IoT搜索引擎查找和删除设备

约翰·马瑟利（John Matherly）的发明家Shodan是一个专门的搜索引擎，可以让用户 查找有关不受保护的互联网连接设备的敏感信息 （例如计算机，婴儿监视器，打印机，网络摄像头，路由器，家庭自动化系统，智能设备，服务器），并使用各种过滤器。任何未受保护的设备都可能容易受到使用Shodan进行查找的任何人（包括黑客）的攻击.

Wikipedia将其描述为“服务标语的搜索引擎，它们是服务器发送回客户端的元数据。” Shodan与传统搜索引擎（例如Google）之间的区别在于： Shodan为物联网（IoT）设备编入索引 并返回有关它们的公开信息，而不是网站内容.

使用Shodan，任何人都可以找到使用默认登录详细信息的设备，这是一种严重的且非常普遍的安全配置错误。在本文中，我们将学习如何利用Shodan来发现您的易受攻击的设备并阻止其受到公开审查.

Shodan有时在流行的（和引起轰动的）媒体上被说唱不好，被简单地描绘成使坏蛋找到容易受到攻击的目标的简便方法。现实情况是，Shodan并不是黑客拥有的唯一工具，网络罪犯有很多方法可以突破安全漏洞。 Shodan是一款功能强大且易于使用的工具，适用于家庭用户和企业，可帮助他们识别易受攻击的设备。之后，由您来保护设备.

但是首先，让我们总结一下Shodan的基本知识，它的功能，作用，工作方式，成本以及是否值得引起争议的声誉。.

Shodan有多恐怖?

对于家庭用户，Shodan看起来有点像“老大哥”。据CNN Business报道，Shodan的研究人员发现它被称为“互联网上最恐怖的搜索引擎”。一个CT Access博客描述了一个可怕的场景，一个Shodan用户设法访问了交通控制系统，并仅用一个简单的命令就将系统设置为测试模式。但是，通过系统本身的伪劣安全措施，公开了危害这些系统的方法。根据CSO Online的说法，“如果组织将敏感数据公开到Internet，则阻止Shodan并不能解决问题。”相反，用户应该主动使用Shodan作为安全工具，以了解有关其设备的信息是否在公开可用.

Shodan之所以被标记为“恐怖”，主要是因为那里有大量设备很少或根本没有使用安全性。例如，当他们使用默认密码（例如“ admin”或“ 0000”）时，在Shodan上查找设备应该是一个警钟，以解决您的安全缺陷。.

Shodan的作用是什么?

虽然Shodan是地下数字犯罪和网络犯罪分子的有用工具，但它对家庭用户和组织有许多积极的用途：

• 它允许内部 渗透测试仪 和 白帽黑客 识别企业网络中的漏洞
• 家庭用户 可以使用自己的互联网连接设备发现漏洞，并确定是否有人在使用它们。例如，有一个黑客访问了您的服务器，其IP地址是什么？?
• 它提供了有关IoT（物联网）设备的有价值的数据，用于 研究目的 由数据科学家，执法人员和网络安全专业人员提供
• Shodan可以帮助 确定关键的基础设施网络，例如不应在公共互联网上使用的水处理设施, 可从互联网访问的SCADA控制中心以及从冰箱到家庭安全系统的不安全的IoT家庭网络设备.
• Shodan 跟踪最近的攻击 针对特定的设备类型或使用特定的软件。您可以轻松发现您的企业是否容易受到安全漏洞的攻击。 （您甚至可以设置RSS feed来通知您最近的IoT攻击。）2016年，Github报告了Microsoft Windows Server 2003中IIS 6.0中的可利用漏洞。 Microsoft不再支持该软件。创建Shodan搜索以使用Microsoft-IIS / 6.0列出所有（在撰写本文时）597,611个不受保护的设备，这很简单.

流行搜索示例，用于识别在其横幅中使用用户名/密码作为admin / 1234的路由器（来源：Shodan）

Shodan合法吗?

刚开始问的第一个问题是：“合法吗？” CT Access的Scott Hirschfeld从技术角度回答说是这样。因为Shodan只是一个“大型端口扫描程序”，并且只暴露了易受攻击的设备（实际上并没有使用它发现的信息），所以这是合法的。 “端口扫描不违反《计算机欺诈和滥用法案》，因为它不符合有关设备可用性或完整性的损坏要求。”诸如nMap和Nessus之类的流行扫描器可以完成几乎相同的工作.

Shodan如何运作?

服务横幅和横幅抓取

了解服务标语是什么，有助于了解设备如何容易受到Shodan的攻击。 Shodan 通过释放抓取服务横幅的网络爬虫（蜘蛛）来工作, 提供有关设备服务的公共信息，例如HTTP，FTP，SSH，Telnet，SNMP等.

信息可能包括设备的名称和IP地址，服务正在运行的软件，其支持的选项以及所提供的服务。请记住，横幅可能是伪造的，但真正的横幅提供的信息宝库是什么!

简化的Shodan标语示例（来源：Shodan）

松散地，可以将横幅广告与营业中的餐馆招牌进行比较，以宣布营业时间，菜单等。在这种情况下，当大门被解锁且餐馆营业时，会自动在具有餐厅会将其信息更新为 打开 并更有可能显示餐厅的位置和联系方式。同样，服务标语提供有关Shodan可以检索和显示的设备的信息。.

什么是Shodan过滤器?

您可以按国家，城市，组织，操作系统，时间范围，主机名，IP范围或产品过滤搜索结果。 IP范围是检查设备是否易受攻击的一种方法。结果页面还提供了摘要过滤器，例如顶级国家，而不是地球上的每个国家。如果要查看特定国家/地区的搜索结果，则必须在搜索字符串中使用国家/地区过滤器，例如“默认密码国家/地区：美国”。您可以使用多个过滤器深入分析结果.

点击 细节 提供有关设备的更多信息，例如设备的所有者，打开的端口以及设备正在运行的服务。黑帽黑客可能知道针对特定版本SSH的攻击。使用Shodan可以快速轻松地找到运行该版本的每台打开到网络的计算机。 Voila，易受攻击目标的即时列表.

使用默认密码的FreeBSD设备过滤器示例（来源：Shodan）

公用IP地址

家用设备共享一个公用IP地址，该公用IP地址（应由您的ISP保护）并分配给路由器。除非Shodan最近进行了一次互联网扫描，并且其中包括您的ISP分配的IP（极不可能），否则您可能不会出现在搜索中。请记住，Shodan每月仅完成一次对整个Internet（约5亿台设备）的爬网，因此，如果您要提出最新请求以确认您不在Shodan网格中，则需要使用Shodan API，用于按需扫描（仅适用于付费订户的服务。）连接到您设备的其他设备，例如您的打印机，通过您的本地（专用）IP地址标识您，该地址不会在Shodan搜索中显示.

您如何执行搜索?

与传统搜索引擎类似，您只需输入搜索字符串，然后单击搜索。 Shodan的帮助中心提供了完整的过滤器列表，以缩小搜索结果的范围。以下是一些简单的示例查询：

• 在加利福尼亚州找到思科设备–思科城市：加利福尼亚
• 在德国找到Apache服务器-Apache country：de
• 查找不在纽约的所有设备–城市：“纽约”

注意： 冒号和搜索值之间没有空格，如果您使用带空格的字符串，则应将搜索值括在引号中.

谁可以使用Shodan?

任何人都可以使用它，并且没有帐户的用户可以免费使用它，尽管搜索仅限于两页的结果。最昂贵的订阅计划是每月899美元，无限制的结果.

使您的设备脱离Shodan网格的提示-[已解决]

有很多方法可以保护您的设备，但到目前为止，最佳实践是使用VPN来保护Shodan雷达.

Shodan安全101

家庭用户不应依赖其ISP进行全面保护：

• 安装VPN. 它不一定会花费您大笔费用；许多都是免费的.
• 永远不要使用默认配置, 例如密码，用户名和SSID
• 最好 直接从制造商处购买路由器 而不是从您的ISP获得，因为制造商通常会更新补丁程序；毕竟，这是他们的主要业务
• 总是 正确配置软件, 并保持补丁更新
• 是否可以通过互联网访问有关冰箱的信息? 问问自己是否真的需要连接设备. 有时供应商的默认配置不安全.
• 总是 使用HTTPS 在您的物联网设备上并进行多因素身份验证

除了上述内容，组织设备安全性的多方面方法是保护它的最佳方法：

• 始终使用VPN，尤其是在您远程管理设备（例如，对于承包商或外部供应商，或具有BYOD政策
• 查看服务标语的内容，并注意错误显示的内容和欢迎消息；最小的信息就是为专门的黑客付出代价。默认情况下，Apache Tomcat会发布有关设备正在运行的服务的大量信息。 IBM提供了清理Apache Tomcat的快速指南，而Yeah Hub提供了逐步指南以加强IIS服务器.
• 在您的组织实施严格的安全策略。内幕威胁使您的企业面临极大风险，因为存在Shodan和Dark Web上的黑客软件.
• 删除旧版和未使用的服务
• 考虑开源路由器固件，它是可定制的，并且通常比商业选项更可靠，它是由志愿服务的IT怪才创建和管理的，他们出于对它的热爱而不仅仅是为了钱。两种选择是Tomato和DD-WRT.
• 将您自己的访问权限限制为将路由器管理到单个IP地址，该地址不属于已分配给网络的地址池。实行安全管理，例如不允许路由器存储您的登录详细信息.
• 切勿为LAN上的IoT设备或服务器启用端口转发。如果您需要通过互联网访问设备，请安装家用VPN服务器，然后通过VPN访问局域网.
• 像黑客一样隐身。允许扫描程序超时，而不是通过允许防火墙向要阻止的地址发送“ ICMP目标不可达”消息来让入侵者知道您已检测到它们，而是让扫描程序超时。知道主机是否存在对于使用Shodan的黑客来说是有价值的信息.
• 采用帐户锁定策略，以减少对网络进行暴力攻击的风险

找出您的设备是否容易受到攻击

首先，您需要公共IP地址。要找到它，只需在Google中键入“我的IP地址是什么”.

要在Shodan中找到您的计算机，请在Shodan搜索框中键入“ net：[您的公共IP地址]”（不带引号）。如果您的ISP做好了工作，您将获得一个 找不到404 状态消息。如果您容易受到攻击，Shodan将返回您设备的详细信息。黑客可能不知道您的公共IP地址，但是如果您使用默认的用户名和密码，他们可以通过搜索使用默认登录详细信息的设备来找到您。从Shodan网格中删除自己的最佳方法是安装VPN，例如开放VPN.

Shodan的替代品，以确认您的设备是否易受攻击：

• 如果Shodan在基本搜索中未提供您的公共IP地址详细信息，则可以使用在线端口扫描工具（例如“隐藏我的名字”）来确认您的端口受到保护。输入您的公共IP地址。所有端口应处于关闭或过滤状态（由防火墙或过滤器保护）。如果您使用“隐藏我的名字”来扫描本地IP地址，则应该收到一条消息，指出主机已关闭或出现类似“错误：服务器不愿意扫描此主机”的信息。
• Censys与Shodan类似，但更新了，并且更加友好。输入您的IP地址。如果您的设备受到保护，您应该收到一条消息，内容为：“我们在此主机上未找到任何可公开访问的服务，或者该主机已列入我们的黑名单。”
• IoT扫描仪可以进行端口扫描，以发现您的任何设备是否可以在Internet上公开访问.

Block Shodan扫描仪

严格来说，您不会从Shodan中移除设备，而是会阻止引擎找到它。 IP Fire表示Shodan使用大约16种不同的扫描仪来保持其索引最新。要阻止这些扫描仪，您可以在计算机的防火墙中为Shodan扫描仪设置已知的主机定义。不幸的是，这些IP地址可能随时更改，因此您必须将其作为安全性例程的一部分进行更新。不幸的是，VPN旨在逃避防火墙，因此防火墙可能会向您发出Shodan查询的警报，但可能无法保护您免受黑客攻击。在您无法使用VPN且设备需要面向公众的情况下，阻止已知的Shodan扫描器是一种快速解决方案.

设定VPN

Comparitech收集了最好的（和最差的）VPN，包括免费的：

• 2023年最佳VPN服务
• 并排额定的20多种免费VPN
• 您可以信任的6种最佳免费VPN
• 2023年适用于Linux的最佳VPN（最糟糕的）

您是否应该对Shodan感到恐慌?

大多数人不必担心，像Facebook这样的应用程序和像Google这样的浏览器对母亲的了解比对自己母亲的了解要多，即使他们应该知道。您不想出现在Shodan搜索中，但正如我们所见，保护自己并不困难.

使用Shodan或旨在嗅探不安全设备配置的任何其他软件的网络犯罪分子，使用默认配置的设备受到的威胁最大。可怕的不只是Shodan。 Google dork（SQL搜索查询，用于搜索网站的索引以获取信息）是在Shodan于2009年问世之前开发的。这些查询还可用于在您的网站上查找易受攻击的信息，例如包含敏感数据的文档.

为了开始使用Shodan，Shodan知识库是全面的，并且是学习如何使用引擎和有效保护自己的有益场所，并且可以学习一些物联网知识和琐事，从而乐在其中.