SHODAN能力分析(一)

目  录

1.基本能力概览

1.1  SHODAN节点分布

1.2  SHODAN关注的设备及端口

1.3  SHODAN业务模式

2.工控态势感知能力分析

2.1  从探测到的设备制造商角度分析

2.2  从串口到以太口转换卡制造商角度分析

2.3  从某行业/协议(BACNET/HAVC)制造商角度分析

2.4  从SIEMENS SIMATIC/ICCP(102端口)国家分布角度分析

2.5  从MODBUS/TCP(502端口)国家分布角度分析

2.6  从DNP3(20000端口)国家分布角度分析

2.7  从Ethernet/IP(44818端口)国家分布角度分析

2.8  从BACNet(47808端口)国家分布角度分析

2.9  一些可能产生危害的例子

1. 基本能力概览

1.1  SHODAN节点分布

SHODAN是John Matherly在大学期间开发的“网络空间搜索引擎”,已知Shodan使用15探测节点, 其中9个节点位于美国本土(3个节点位于东部的芝加哥,6个节点位于西海岸的圣地亚哥),6个节点位于欧洲,详情如下表所示:

表1 Shodan节点详情

Shodan节点名称

IP地址

地理位置

census1.shodan.io

198.20.69.74

Chicago Illinois United States

census2.shodan.io

198.20.69.98

Chicago Illinois United States

census3.shodan.io

198.20.70.114

Chicago Illinois United States

census4.shodan.io

198.20.99.130

Netherlands

census5.shodan.io

93.120.27.62

Romania

census6.shodan.io

66.240.236.119

San Diego California United States

census7.shodan.io

71.6.135.131

San Diego California United

census8.shodan.io

66.240.192.138

San Diego California United

census9.shodan.io

71.6.167.142

San Diego California United

census10.shodan.io

82.221.105.6

Iceland

census11.shodan.io

71.6.165.7

San Diego California United

census12.shodan.io

71.6.165.200

San Diego California United

rim.census.shodan.io

85.25.43.94

Germany

pacific.census.shodan.io

85.25.103.50

Germany

atlantic.census.shodan.io

188.138.9.50

Germany

1.2  SHODAN关注的设备及端口

SHODAN专注在对网络空间的“设备级”探测,包括但不限于:

• 工控PLC

• 工控HMI(上位机)

• 工控组态软件

• IP摄像头

• IP摄像头

• 串口转换设备(如Moxa卡等)

其早期关注的端口如下:

• FTP—Port 21        

• Telnet—Port 23

• HTTP—Port 80

• SSH—Port 22

• SNMP—Port 161

• HTTPS—Port 443

其后期关注的端口如下:

• Siemens SIMATIC / ICCP—Port 102

• MODBUS/TCP –Port 502

• DNP3—Port 20000

• Ethernet/IP—Port 44818

• BACNet—Port 47808

1.3  SHODAN业务模式

其主要的业务模式如下,依靠扫描引擎(红色椭圆),对外提供5种服务(蓝色矩形),并进行用户数据收集(绿色矩形),具体如下图所示:

2. 工控态势感知能力分析

由于2008年开始,美国土安全部(DHS)SHINE(SHodan INtelligence Extraction)计划的推动,使得SHODAN对于工控设备的识别能力大大提高,截止到2014年,SHODAN功能识别886种工控设备,涉及182个工控厂商,包含2,186,971个工控设备。

2.1  从探测到的设备制造商角度分析

依据SHODAN发现的工控设备数量,从制造商占比的角度看,前11家制造商的设备共586,997个,占总量(2,186,971)的26.84%,他们是:

• ENERGYICT

• SIEMENS

• MOXA

• LANTRONIX

• NIAGARA

• GOAHEAD-WEB

• VXWORKS

• INTOTO

• ALLIED-TELESYS  

• DIGI INTRERNATIONAL

• EMBEDTHIS-WEB

具体制造商分布如下:

制造商

数量

占比

ENERGYICT

106,235

18.10%

SIEMENS

84,328

14.37%

MOXA

78,309

13.34%

LANTRONIX

56,239

9.58%

NIAGARA

54,437

9.27%

GOAHEAD-WEB

42,473

7.24%

VXWORKS

34,759

5.92%

INTOTO

34,686

5.91%

ALLIED-TELESYS

34,573

5.89%

DIGI INTERNATIONAL

30,557

5.21%

EMBEDTHIS-WEB

30,381

5.17%

2.2 从串口到以太口转换卡制造商角度分析

依据SHODAN发现的工控设备数量,从使用BACNET协议并应用于HAVC领域的制造商角度来看,前16家设备共13,475个,占总量(2,186,971)的0.62%,他们是:

• HEATMISER

• HONEYWELL

• YORK

• BACNET

• INTERNATIONAL

• TRANE

• JOHNSON CONTROLS

• CARRIER

• • TEMPERATURE GUARD

• LG ELECTRONICS

• LIEBERT

• CENTRALINE

• STULZ

• CONTROL4

• BOSCH AUTOMATION

• LENNOX

• CUMMINGS

具体制造商分布如下:

制造商

数量

占比

HEATMISER

6,487

48.13%

HONEYWELL

3,588

26.63%

YORK

921

6.83%

BACNET INTERNATIONAL

560

4.16%

TRANE

506

3.76%

JOHNSON CONTROLS

460

3.41%

CARRIER

234

1.74%

TEMPERATURE GUARD

180

1.34%

LG ELECTRONICS

145

1.08%

LIEBERT

126

0.94%

CENTRALINE

81

0.60%

STULZ

77

0.57%

CONTROL4

38

0.28%

BOSCH AUTOMATION

37

0.27%

LENNOX

24

0.18%

CUMMINGS

11

0.08%

2.3 从某行业/协议(BACNET/HAVC)制造商角度分析

依据SHODAN发现的工控设备数量,从串口到以太口(Serial—>Ethernet)的制造商角度来看,前6家设备共204,416个,占总量(2,186,971)的9.35%,他们是:

• MOXA

• LANTRONIX

• ALLIED TELESYS

• DIGI INTERNATIONAL

• ATOP SYSTEMS

• MULTITECH SYSTEMS

具体制造商分布如下:

制造商

数量

占比

MOXA

78,309

38.31%

LANTRONIX

56,239

27.51%

ALLIED TELESYS

34,573

16.91%

DIGI INTERNATIONAL

30,557

14.95%

ATOP SYSTEMS

3,846

1.88%

MULTITECH SYSTEMS

892

0.44

2.4 从SIEMENS SIMATIC/ICCP(102端口)国家分布角度分析

依据SHODAN发现的工控设备数量,从SIEMENS的SIMATIC/ICCP协议分布角度来看,前五个国家设备共1802个,总体共3477个,他们是:

具体国家分布如下:

序号

国家

数量

自身占比(1802)

总体占比(3477)

1

德国

691

38.35%

19.87%

2

意大利

513

28.47%

14.75%

3

美国

277

15.37%

7.97%

4

西班牙

247

13.71%

7.10%

5

土耳其

74

4.11%

2.13%

共:1802



2.5 从MODBUS/TCP(502端口)国家分布角度分析

依据SHODAN发现的工控设备数量,从MODBUS/TCP协议分布角度来看,前五个国家设备共8,106个,总体共16,066个(PS:ZoomEye15年7月对MODBUS/TCP的扫描结果是39,588,说明一年多以来全球联网MODBUS/TCP设备增加了一倍多),他们是:

具体国家分布如下:

序号

国家

数量

自身占比(1802)

总体占比(3477)

1

美国

4,089

50.44%

25.45%

2

西班牙

1,051

12.97%

6.54%

3

瑞典

1,016

12.53%

6.32%

4

意大利

982

12.11%

6.11%

5

法国

968

11.94%

6.03%

共:8106



2.6 从DNP3(20000端口)国家分布角度分析

依据SHODAN发现的工控设备数量,从DNP3协议分布角度来看,前五个国家设备共515个,总体共625个,他们是:

具体国家分布如下:

序号

国家

数量

自身占比(1802)

总体占比(3477)

1

美国

401

77.86%

64.16%

2

瑞典

55

10.68%

8.80%

3

斯洛伐克

28

5.44%

4.48%

4

意大利

18

3.50%

2.88%

5

土耳其

13

2.52%

2.08%

共:515



2.7 从Ethernet/IP(44818端口)国家分布角度分析

依据SHODAN发现的工控设备数量,从DNP3协议分布角度来看,前五个国家设备共3537个,总体共4522个,他们是:

具体国家分布如下:

序号

国家

数量

自身占比(1802)

总体占比(3477)

1

美国

2,384

67.40%

52.72%

2

加拿大

374

10.57%

8.27%

3

韩国

314

8.88%

6.94%

4

意大利

281

7.94%

6.21%

5

西班牙

184

5.20%

4.07%

共:3537



2.8 从BACNet(47808端口)国家分布角度分析

依据SHODAN发现的工控设备数量,从BACNet协议分布角度来看,前五个国家设备共9,678个,总体共11,553个,他们是:

具体国家分布如下:

序号

国家

数量

自身占比(1802)

总体占比(3477)

1

美国

7,259

75.01%

62.83%

2

加拿大

893

19.56%

16.39%

3

西班牙

267

2.76%

2.31%

4

芬兰

134

1.38%

1.16%

5

澳大利亚

125

1.29%

1.08%

共:9678



2.9 一些可能产生危害的例子

下面列举一些笔者找到的一些可能存在漏洞的工控设备的“搜索关键字”:

SHODAN关键字

数量

类别

注释

A850+Telemetry+Gateway

25

Telemetry

遥感测量网关

SNMP 161

ABB+Webmodule

11

ABB HMI

ABB上位机

197.225.29.25  84

176.227.138.87  82

admin/admin

Allen-Bradley

4,232

PAC

先进制造设备

96.1.71.147

44818

枚举PAC信息

/BroadWeb/

6

Advantech HMI

研华上位机

197.255.75.211

220.130.247.196

admin/???

Cimetrics+Eplus+Web+Server

14

BACNet HMI

BACNet上位机

128.2.127.123

admin/admin

CIMPLICITY

51

GE HMI

GE上位机

EIG+Embedded+Web+Server

105

EIG HMI

EIG上位机

190.102.62.89 82

eiPortal

40

EnergyICT Historian

EnergyICT历史数据库

62.213.212.137

EnergyICT

563

EnergyICT RTU

EnergyICT RTU

123.209.219.165

HMS+AnyBus-S+WebServer

43

HMS HMI

HMS上位机

173.181.212.202

i.LON

3,153

Streetlight HMI

Streetlight上位机

5.185.107.42 8080

ioLogik

176

MOXA Ethernet IO Server

MOXA以太转换卡

96.1.25.110

Modbus+Bridge

110

Modbus Bridge

Modbus网桥

telnet 9999

90.80.103.10

ModbusGW

47

anyBus gateway

anyBus网关

149.100.170.19  8112

admin/admin

Modicon+M340+CPU

57

Schneider PLC

Schneider PLC

SNMP 161

Niagara+Web+Server

21,366

Niagara HMI

Niagara上位机

User/pass???

Powerlink

1,647

Visonic HMI or PLC

Visonic上位机 或 PLC

SNMP 161

HTTP

Reliance+4+Control+Server

6

SCADA HMI

SCADA上位机

User/pass???

RTS+Scada

7

SCADA HMI

SCADA上位机

User/pass???

RTU560

5

ABB RTU

ABB RTU

80.166.191.18  80

Simatic+HMI+port:"161"

61

SIEMENS PLC

SIEMENS PLC

205.168.255.125  80

Simatic+port:"102"

2,877

SIEMENS PLC

SIEMENS PLC

166.130.136.193  80

SoftPLC

672

Penzion Avalanche PLC

Penzion Avalanche PLC

90.182.98.52  80

TAC/Xenta



2011年报告1880,目前0

奇怪?!

注释:标红表示敏感且可能造成危害的设备

未完待续

文/ Dustin

 

声明:本文来自网信防务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。