最近，大家的注意力都聚焦在一个名为“Shodan”的搜索引擎上，甚至可能有人形容Shodan是“最可怕的搜索引擎。”这款渗透测试搜索引擎揭露出关键架构如网络服务器、路由器甚至是打印机都会让黑客有机可乘，从而对小企业乃至公共设施发起攻击。

    在恐慌接连发生之时，让我们先缩小一下范围，其实Shodan并不是新出现的，其网站在2009年就发布了，根据它自己的口号描述，Shodan与谷歌不同，因为它旨在找电脑，而不是找内容。这听起来像是黑魔法，但是其实Shodan的核心技术非常简单。

    Shodan背后

    当你连接到一个服务器，而这个服务器又是收听给定端口时，这个服务器通常都会与一个“标语”响应。这个标语其实是一个文本拦截，里面对服务进行了详述，比如：

    HTTP/1.0 401 Unauthorized
     Date: Thu, 08 Jan 1970 18:04:00 GMT
     Server: Boa/0.93.15 （with Intersil Extensions）
     Connection: close
     WWW-Authenticate: Basic realm="LOGIN Enter Password （default is medion, ignore username）"
     Content-Type: text/html

    这是对运行Boa的服务器进行描述的标语，Boa是一个被设计为运行于嵌入式平台（包括安卓服务）之上的Web HTTP服务器。这个标语可以识别运行软件的版本和一个默认密码。

    Shodan的会在全球查询IP地址，在若干常见端口查找和保存标语响应。Shodan搜索可以让用户在这些标语中查询关键词，通过元数据（如端口和IP地址或域名）进行过滤。

    Shodan披露的任何“可怕的”漏洞都会出现在标语信息中。记住，这些标语只是一种信息，且并非总是精准。

    例如，有些像上面示例中那样简单的标语就披露了默认密码。但这并意味着它就是网站真正配置的密码；它表示的只是软件默认的设置。一个有安全意识的管理员在配置服务器时肯定要更改密码。

    哪些人要提防Shodan？

    那些因Shodan等工具而存在风险的设备都是不需要联网且使用默认配置文件的设备。Shodan并不是黑客找到这些设备的唯一方式，但是Shodan却减少了黑客查找的障碍。

    有些通过Shodan暴露的东西很早就可以从谷歌查到了。即便谷歌索引中出现的是内容而非服务器标语，可了解特定查询字符串的黑客们也能够找到误配置的服务器，打印机和网络摄像头。这些查询模板被称作“Google dork”，它们早在Shodan之前就存在了。

    关键在于，不论是谷歌dork还是Shodan都为企业带来了威胁。企业设备的曝光自然会让企业陷入威胁之中。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课