SHODAN能力分析(一)
目 录
1.基本能力概览
1.1 SHODAN节点分布
1.2 SHODAN关注的设备及端口
1.3 SHODAN业务模式
2.工控态势感知能力分析
2.1 从探测到的设备制造商角度分析
2.2 从串口到以太口转换卡制造商角度分析
2.3 从某行业/协议(BACNET/HAVC)制造商角度分析
2.4 从SIEMENS SIMATIC/ICCP(102端口)国家分布角度分析
2.5 从MODBUS/TCP(502端口)国家分布角度分析
2.6 从DNP3(20000端口)国家分布角度分析
2.7 从Ethernet/IP(44818端口)国家分布角度分析
2.8 从BACNet(47808端口)国家分布角度分析
2.9 一些可能产生危害的例子
1. 基本能力概览
1.1 SHODAN节点分布
SHODAN是John Matherly在大学期间开发的“网络空间搜索引擎”,已知Shodan使用15探测节点, 其中9个节点位于美国本土(3个节点位于东部的芝加哥,6个节点位于西海岸的圣地亚哥),6个节点位于欧洲,详情如下表所示:
表1 Shodan节点详情
|
Shodan节点名称 |
IP地址 |
地理位置 |
|
census1.shodan.io |
198.20.69.74 |
Chicago Illinois United States |
|
census2.shodan.io |
198.20.69.98 |
Chicago Illinois United States |
|
census3.shodan.io |
198.20.70.114 |
Chicago Illinois United States |
|
census4.shodan.io |
198.20.99.130 |
Netherlands |
|
census5.shodan.io |
93.120.27.62 |
Romania |
|
census6.shodan.io |
66.240.236.119 |
San Diego California United States |
|
census7.shodan.io |
71.6.135.131 |
San Diego California United |
|
census8.shodan.io |
66.240.192.138 |
San Diego California United |
|
census9.shodan.io |
71.6.167.142 |
San Diego California United |
|
census10.shodan.io |
82.221.105.6 |
Iceland |
|
census11.shodan.io |
71.6.165.7 |
San Diego California United |
|
census12.shodan.io |
71.6.165.200 |
San Diego California United |
|
rim.census.shodan.io |
85.25.43.94 |
Germany |
|
pacific.census.shodan.io |
85.25.103.50 |
Germany |
|
atlantic.census.shodan.io |
188.138.9.50 |
Germany |
1.2 SHODAN关注的设备及端口
SHODAN专注在对网络空间的“设备级”探测,包括但不限于:
• 工控PLC
• 工控HMI(上位机)
• 工控组态软件
• IP摄像头
• IP摄像头
• 串口转换设备(如Moxa卡等)
其早期关注的端口如下:
• FTP—Port 21
• Telnet—Port 23
• HTTP—Port 80
• SSH—Port 22
• SNMP—Port 161
• HTTPS—Port 443
其后期关注的端口如下:
• Siemens SIMATIC / ICCP—Port 102
• MODBUS/TCP –Port 502
• DNP3—Port 20000
• Ethernet/IP—Port 44818
• BACNet—Port 47808
1.3 SHODAN业务模式
其主要的业务模式如下,依靠扫描引擎(红色椭圆),对外提供5种服务(蓝色矩形),并进行用户数据收集(绿色矩形),具体如下图所示:
2. 工控态势感知能力分析
由于2008年开始,美国土安全部(DHS)SHINE(SHodan INtelligence Extraction)计划的推动,使得SHODAN对于工控设备的识别能力大大提高,截止到2014年,SHODAN功能识别886种工控设备,涉及182个工控厂商,包含2,186,971个工控设备。
2.1 从探测到的设备制造商角度分析
依据SHODAN发现的工控设备数量,从制造商占比的角度看,前11家制造商的设备共586,997个,占总量(2,186,971)的26.84%,他们是:
• ENERGYICT
• SIEMENS
• MOXA
• LANTRONIX
• NIAGARA
• GOAHEAD-WEB
• VXWORKS
• INTOTO
• ALLIED-TELESYS
• DIGI INTRERNATIONAL
• EMBEDTHIS-WEB
具体制造商分布如下:
|
制造商 |
数量 |
占比 |
|
|
ENERGYICT |
106,235 |
18.10% |
|
|
SIEMENS |
84,328 |
14.37% |
|
|
MOXA |
78,309 |
13.34% |
|
|
LANTRONIX |
56,239 |
9.58% |
|
|
NIAGARA |
54,437 |
9.27% |
|
|
GOAHEAD-WEB |
42,473 |
7.24% |
|
|
VXWORKS |
34,759 |
5.92% |
|
|
INTOTO |
34,686 |
5.91% |
|
|
ALLIED-TELESYS |
34,573 |
5.89% |
|
|
DIGI INTERNATIONAL |
30,557 |
5.21% |
|
|
EMBEDTHIS-WEB |
30,381 |
5.17% |
|
2.2 从串口到以太口转换卡制造商角度分析
依据SHODAN发现的工控设备数量,从使用BACNET协议并应用于HAVC领域的制造商角度来看,前16家设备共13,475个,占总量(2,186,971)的0.62%,他们是:
• HEATMISER
• HONEYWELL
• YORK
• BACNET
• INTERNATIONAL
• TRANE
• JOHNSON CONTROLS
• CARRIER
• • TEMPERATURE GUARD
• LG ELECTRONICS
• LIEBERT
• CENTRALINE
• STULZ
• CONTROL4
• BOSCH AUTOMATION
• LENNOX
• CUMMINGS
具体制造商分布如下:
|
制造商 |
数量 |
占比 |
|
HEATMISER |
6,487 |
48.13% |
|
HONEYWELL |
3,588 |
26.63% |
|
YORK |
921 |
6.83% |
|
BACNET INTERNATIONAL |
560 |
4.16% |
|
TRANE |
506 |
3.76% |
|
JOHNSON CONTROLS |
460 |
3.41% |
|
CARRIER |
234 |
1.74% |
|
TEMPERATURE GUARD |
180 |
1.34% |
|
LG ELECTRONICS |
145 |
1.08% |
|
LIEBERT |
126 |
0.94% |
|
CENTRALINE |
81 |
0.60% |
|
STULZ |
77 |
0.57% |
|
CONTROL4 |
38 |
0.28% |
|
BOSCH AUTOMATION |
37 |
0.27% |
|
LENNOX |
24 |
0.18% |
|
CUMMINGS |
11 |
0.08% |
2.3 从某行业/协议(BACNET/HAVC)制造商角度分析
依据SHODAN发现的工控设备数量,从串口到以太口(Serial—>Ethernet)的制造商角度来看,前6家设备共204,416个,占总量(2,186,971)的9.35%,他们是:
• MOXA
• LANTRONIX
• ALLIED TELESYS
• DIGI INTERNATIONAL
• ATOP SYSTEMS
• MULTITECH SYSTEMS
具体制造商分布如下:
|
制造商 |
数量 |
占比 |
|
MOXA |
78,309 |
38.31% |
|
LANTRONIX |
56,239 |
27.51% |
|
ALLIED TELESYS |
34,573 |
16.91% |
|
DIGI INTERNATIONAL |
30,557 |
14.95% |
|
ATOP SYSTEMS |
3,846 |
1.88% |
|
MULTITECH SYSTEMS |
892 |
0.44 |
2.4 从SIEMENS SIMATIC/ICCP(102端口)国家分布角度分析
依据SHODAN发现的工控设备数量,从SIEMENS的SIMATIC/ICCP协议分布角度来看,前五个国家设备共1802个,总体共3477个,他们是:
具体国家分布如下:
|
序号 |
国家 |
数量 |
自身占比(1802) |
总体占比(3477) |
|
1 |
德国 |
691 |
38.35% |
19.87% |
|
2 |
意大利 |
513 |
28.47% |
14.75% |
|
3 |
美国 |
277 |
15.37% |
7.97% |
|
4 |
西班牙 |
247 |
13.71% |
7.10% |
|
5 |
土耳其 |
74 |
4.11% |
2.13% |
|
共:1802 |
||||
2.5 从MODBUS/TCP(502端口)国家分布角度分析
依据SHODAN发现的工控设备数量,从MODBUS/TCP协议分布角度来看,前五个国家设备共8,106个,总体共16,066个(PS:ZoomEye15年7月对MODBUS/TCP的扫描结果是39,588,说明一年多以来全球联网MODBUS/TCP设备增加了一倍多),他们是:
具体国家分布如下:
|
序号 |
国家 |
数量 |
自身占比(1802) |
总体占比(3477) |
|
1 |
美国 |
4,089 |
50.44% |
25.45% |
|
2 |
西班牙 |
1,051 |
12.97% |
6.54% |
|
3 |
瑞典 |
1,016 |
12.53% |
6.32% |
|
4 |
意大利 |
982 |
12.11% |
6.11% |
|
5 |
法国 |
968 |
11.94% |
6.03% |
|
共:8106 |
||||
2.6 从DNP3(20000端口)国家分布角度分析
依据SHODAN发现的工控设备数量,从DNP3协议分布角度来看,前五个国家设备共515个,总体共625个,他们是:
具体国家分布如下:
|
序号 |
国家 |
数量 |
自身占比(1802) |
总体占比(3477) |
|
1 |
美国 |
401 |
77.86% |
64.16% |
|
2 |
瑞典 |
55 |
10.68% |
8.80% |
|
3 |
斯洛伐克 |
28 |
5.44% |
4.48% |
|
4 |
意大利 |
18 |
3.50% |
2.88% |
|
5 |
土耳其 |
13 |
2.52% |
2.08% |
|
共:515 |
||||
2.7 从Ethernet/IP(44818端口)国家分布角度分析
依据SHODAN发现的工控设备数量,从DNP3协议分布角度来看,前五个国家设备共3537个,总体共4522个,他们是:
具体国家分布如下:
|
序号 |
国家 |
数量 |
自身占比(1802) |
总体占比(3477) |
|
1 |
美国 |
2,384 |
67.40% |
52.72% |
|
2 |
加拿大 |
374 |
10.57% |
8.27% |
|
3 |
韩国 |
314 |
8.88% |
6.94% |
|
4 |
意大利 |
281 |
7.94% |
6.21% |
|
5 |
西班牙 |
184 |
5.20% |
4.07% |
|
共:3537 |
||||
2.8 从BACNet(47808端口)国家分布角度分析
依据SHODAN发现的工控设备数量,从BACNet协议分布角度来看,前五个国家设备共9,678个,总体共11,553个,他们是:
具体国家分布如下:
|
序号 |
国家 |
数量 |
自身占比(1802) |
总体占比(3477) |
|
1 |
美国 |
7,259 |
75.01% |
62.83% |
|
2 |
加拿大 |
893 |
19.56% |
16.39% |
|
3 |
西班牙 |
267 |
2.76% |
2.31% |
|
4 |
芬兰 |
134 |
1.38% |
1.16% |
|
5 |
澳大利亚 |
125 |
1.29% |
1.08% |
|
共:9678 |
||||
2.9 一些可能产生危害的例子
下面列举一些笔者找到的一些可能存在漏洞的工控设备的“搜索关键字”:
|
SHODAN关键字 |
数量 |
类别 |
注释 |
|
A850+Telemetry+Gateway |
25 |
Telemetry |
遥感测量网关 SNMP 161 |
|
ABB+Webmodule |
11 |
ABB HMI |
ABB上位机 197.225.29.25 84 176.227.138.87 82 admin/admin |
|
Allen-Bradley |
4,232 |
PAC |
先进制造设备 96.1.71.147 44818 枚举PAC信息 |
|
/BroadWeb/ |
6 |
Advantech HMI |
研华上位机 197.255.75.211 220.130.247.196 admin/??? |
|
Cimetrics+Eplus+Web+Server |
14 |
BACNet HMI |
BACNet上位机 128.2.127.123 admin/admin |
|
CIMPLICITY |
51 |
GE HMI |
GE上位机 |
|
EIG+Embedded+Web+Server |
105 |
EIG HMI |
EIG上位机 190.102.62.89 82 |
|
eiPortal |
40 |
EnergyICT Historian |
EnergyICT历史数据库 62.213.212.137 |
|
EnergyICT |
563 |
EnergyICT RTU |
EnergyICT RTU 123.209.219.165 |
|
HMS+AnyBus-S+WebServer |
43 |
HMS HMI |
HMS上位机 173.181.212.202 |
|
i.LON |
3,153 |
Streetlight HMI |
Streetlight上位机 5.185.107.42 8080 |
|
ioLogik |
176 |
MOXA Ethernet IO Server |
MOXA以太转换卡 96.1.25.110 |
|
Modbus+Bridge |
110 |
Modbus Bridge |
Modbus网桥 telnet 9999 90.80.103.10 |
|
ModbusGW |
47 |
anyBus gateway |
anyBus网关 149.100.170.19 8112 admin/admin |
|
Modicon+M340+CPU |
57 |
Schneider PLC |
Schneider PLC SNMP 161 |
|
Niagara+Web+Server |
21,366 |
Niagara HMI |
Niagara上位机 User/pass??? |
|
Powerlink |
1,647 |
Visonic HMI or PLC |
Visonic上位机 或 PLC SNMP 161 HTTP |
|
Reliance+4+Control+Server |
6 |
SCADA HMI |
SCADA上位机 User/pass??? |
|
RTS+Scada |
7 |
SCADA HMI |
SCADA上位机 User/pass??? |
|
RTU560 |
5 |
ABB RTU |
ABB RTU 80.166.191.18 80 |
|
Simatic+HMI+port:”161″ |
61 |
SIEMENS PLC |
SIEMENS PLC 205.168.255.125 80 |
|
Simatic+port:”102″ |
2,877 |
SIEMENS PLC |
SIEMENS PLC 166.130.136.193 80 |
|
SoftPLC |
672 |
Penzion Avalanche PLC |
Penzion Avalanche PLC 90.182.98.52 80 |
|
TAC/Xenta |
2011年报告1880,目前0 奇怪?! |
注释:标红表示敏感且可能造成危害的设备
未完待续
文/ Dustin
声明:本文来自网信防务,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。
联系我们
在线留言
京公网安备11011202100645号