SHODAN能力分析(一)
目 录
1.基本能力概览
1.1 SHODAN节点分布
1.2 SHODAN关注的设备及端口
1.3 SHODAN业务模式
2.工控态势感知能力分析
2.1 从探测到的设备制造商角度分析
2.2 从串口到以太口转换卡制造商角度分析
2.3 从某行业/协议(BACNET/HAVC)制造商角度分析
2.4 从SIEMENS SIMATIC/ICCP(102端口)国家分布角度分析
2.5 从MODBUS/TCP(502端口)国家分布角度分析
2.6 从DNP3(20000端口)国家分布角度分析
2.7 从Ethernet/IP(44818端口)国家分布角度分析
2.8 从BACNet(47808端口)国家分布角度分析
2.9 一些可能产生危害的例子
1. 基本能力概览
1.1 SHODAN节点分布
SHODAN是John Matherly在大学期间开发的“网络空间搜索引擎”,已知Shodan使用15探测节点, 其中9个节点位于美国本土(3个节点位于东部的芝加哥,6个节点位于西海岸的圣地亚哥),6个节点位于欧洲,详情如下表所示:
表1 Shodan节点详情
Shodan节点名称 | IP地址 | 地理位置 |
census1.shodan.io | 198.20.69.74 | Chicago Illinois United States |
census2.shodan.io | 198.20.69.98 | Chicago Illinois United States |
census3.shodan.io | 198.20.70.114 | Chicago Illinois United States |
census4.shodan.io | 198.20.99.130 | Netherlands |
census5.shodan.io | 93.120.27.62 | Romania |
census6.shodan.io | 66.240.236.119 | San Diego California United States |
census7.shodan.io | 71.6.135.131 | San Diego California United |
census8.shodan.io | 66.240.192.138 | San Diego California United |
census9.shodan.io | 71.6.167.142 | San Diego California United |
census10.shodan.io | 82.221.105.6 | Iceland |
census11.shodan.io | 71.6.165.7 | San Diego California United |
census12.shodan.io | 71.6.165.200 | San Diego California United |
rim.census.shodan.io | 85.25.43.94 | Germany |
pacific.census.shodan.io | 85.25.103.50 | Germany |
atlantic.census.shodan.io | 188.138.9.50 | Germany |
1.2 SHODAN关注的设备及端口
SHODAN专注在对网络空间的“设备级”探测,包括但不限于:
• 工控PLC
• 工控HMI(上位机)
• 工控组态软件
• IP摄像头
• IP摄像头
• 串口转换设备(如Moxa卡等)
其早期关注的端口如下:
• FTP—Port 21
• Telnet—Port 23
• HTTP—Port 80
• SSH—Port 22
• SNMP—Port 161
• HTTPS—Port 443
其后期关注的端口如下:
• Siemens SIMATIC / ICCP—Port 102
• MODBUS/TCP –Port 502
• DNP3—Port 20000
• Ethernet/IP—Port 44818
• BACNet—Port 47808
1.3 SHODAN业务模式
其主要的业务模式如下,依靠扫描引擎(红色椭圆),对外提供5种服务(蓝色矩形),并进行用户数据收集(绿色矩形),具体如下图所示:
2. 工控态势感知能力分析
由于2008年开始,美国土安全部(DHS)SHINE(SHodan INtelligence Extraction)计划的推动,使得SHODAN对于工控设备的识别能力大大提高,截止到2014年,SHODAN功能识别886种工控设备,涉及182个工控厂商,包含2,186,971个工控设备。
2.1 从探测到的设备制造商角度分析
依据SHODAN发现的工控设备数量,从制造商占比的角度看,前11家制造商的设备共586,997个,占总量(2,186,971)的26.84%,他们是:
• ENERGYICT
• SIEMENS
• MOXA
• LANTRONIX
• NIAGARA
• GOAHEAD-WEB
• VXWORKS
• INTOTO
• ALLIED-TELESYS
• DIGI INTRERNATIONAL
• EMBEDTHIS-WEB
具体制造商分布如下:
制造商 | 数量 | 占比 | |
ENERGYICT | 106,235 | 18.10% | |
SIEMENS | 84,328 | 14.37% | |
MOXA | 78,309 | 13.34% | |
LANTRONIX | 56,239 | 9.58% | |
NIAGARA | 54,437 | 9.27% | |
GOAHEAD-WEB | 42,473 | 7.24% | |
VXWORKS | 34,759 | 5.92% | |
INTOTO | 34,686 | 5.91% | |
ALLIED-TELESYS | 34,573 | 5.89% | |
DIGI INTERNATIONAL | 30,557 | 5.21% | |
EMBEDTHIS-WEB | 30,381 | 5.17% | |
2.2 从串口到以太口转换卡制造商角度分析
依据SHODAN发现的工控设备数量,从使用BACNET协议并应用于HAVC领域的制造商角度来看,前16家设备共13,475个,占总量(2,186,971)的0.62%,他们是:
• HEATMISER
• HONEYWELL
• YORK
• BACNET
• INTERNATIONAL
• TRANE
• JOHNSON CONTROLS
• CARRIER
• • TEMPERATURE GUARD
• LG ELECTRONICS
• LIEBERT
• CENTRALINE
• STULZ
• CONTROL4
• BOSCH AUTOMATION
• LENNOX
• CUMMINGS
具体制造商分布如下:
制造商 | 数量 | 占比 |
HEATMISER | 6,487 | 48.13% |
HONEYWELL | 3,588 | 26.63% |
YORK | 921 | 6.83% |
BACNET INTERNATIONAL | 560 | 4.16% |
TRANE | 506 | 3.76% |
JOHNSON CONTROLS | 460 | 3.41% |
CARRIER | 234 | 1.74% |
TEMPERATURE GUARD | 180 | 1.34% |
LG ELECTRONICS | 145 | 1.08% |
LIEBERT | 126 | 0.94% |
CENTRALINE | 81 | 0.60% |
STULZ | 77 | 0.57% |
CONTROL4 | 38 | 0.28% |
BOSCH AUTOMATION | 37 | 0.27% |
LENNOX | 24 | 0.18% |
CUMMINGS | 11 | 0.08% |
2.3 从某行业/协议(BACNET/HAVC)制造商角度分析
依据SHODAN发现的工控设备数量,从串口到以太口(Serial—>Ethernet)的制造商角度来看,前6家设备共204,416个,占总量(2,186,971)的9.35%,他们是:
• MOXA
• LANTRONIX
• ALLIED TELESYS
• DIGI INTERNATIONAL
• ATOP SYSTEMS
• MULTITECH SYSTEMS
具体制造商分布如下:
制造商 | 数量 | 占比 |
MOXA | 78,309 | 38.31% |
LANTRONIX | 56,239 | 27.51% |
ALLIED TELESYS | 34,573 | 16.91% |
DIGI INTERNATIONAL | 30,557 | 14.95% |
ATOP SYSTEMS | 3,846 | 1.88% |
MULTITECH SYSTEMS | 892 | 0.44 |
2.4 从SIEMENS SIMATIC/ICCP(102端口)国家分布角度分析
依据SHODAN发现的工控设备数量,从SIEMENS的SIMATIC/ICCP协议分布角度来看,前五个国家设备共1802个,总体共3477个,他们是:
具体国家分布如下:
序号 | 国家 | 数量 | 自身占比(1802) | 总体占比(3477) |
1 | 德国 | 691 | 38.35% | 19.87% |
2 | 意大利 | 513 | 28.47% | 14.75% |
3 | 美国 | 277 | 15.37% | 7.97% |
4 | 西班牙 | 247 | 13.71% | 7.10% |
5 | 土耳其 | 74 | 4.11% | 2.13% |
共:1802 | ||||
2.5 从MODBUS/TCP(502端口)国家分布角度分析
依据SHODAN发现的工控设备数量,从MODBUS/TCP协议分布角度来看,前五个国家设备共8,106个,总体共16,066个(PS:ZoomEye15年7月对MODBUS/TCP的扫描结果是39,588,说明一年多以来全球联网MODBUS/TCP设备增加了一倍多),他们是:
具体国家分布如下:
序号 | 国家 | 数量 | 自身占比(1802) | 总体占比(3477) |
1 | 美国 | 4,089 | 50.44% | 25.45% |
2 | 西班牙 | 1,051 | 12.97% | 6.54% |
3 | 瑞典 | 1,016 | 12.53% | 6.32% |
4 | 意大利 | 982 | 12.11% | 6.11% |
5 | 法国 | 968 | 11.94% | 6.03% |
共:8106 | ||||
2.6 从DNP3(20000端口)国家分布角度分析
依据SHODAN发现的工控设备数量,从DNP3协议分布角度来看,前五个国家设备共515个,总体共625个,他们是:
具体国家分布如下:
序号 | 国家 | 数量 | 自身占比(1802) | 总体占比(3477) |
1 | 美国 | 401 | 77.86% | 64.16% |
2 | 瑞典 | 55 | 10.68% | 8.80% |
3 | 斯洛伐克 | 28 | 5.44% | 4.48% |
4 | 意大利 | 18 | 3.50% | 2.88% |
5 | 土耳其 | 13 | 2.52% | 2.08% |
共:515 | ||||
2.7 从Ethernet/IP(44818端口)国家分布角度分析
依据SHODAN发现的工控设备数量,从DNP3协议分布角度来看,前五个国家设备共3537个,总体共4522个,他们是:
具体国家分布如下:
序号 | 国家 | 数量 | 自身占比(1802) | 总体占比(3477) |
1 | 美国 | 2,384 | 67.40% | 52.72% |
2 | 加拿大 | 374 | 10.57% | 8.27% |
3 | 韩国 | 314 | 8.88% | 6.94% |
4 | 意大利 | 281 | 7.94% | 6.21% |
5 | 西班牙 | 184 | 5.20% | 4.07% |
共:3537 | ||||
2.8 从BACNet(47808端口)国家分布角度分析
依据SHODAN发现的工控设备数量,从BACNet协议分布角度来看,前五个国家设备共9,678个,总体共11,553个,他们是:
具体国家分布如下:
序号 | 国家 | 数量 | 自身占比(1802) | 总体占比(3477) |
1 | 美国 | 7,259 | 75.01% | 62.83% |
2 | 加拿大 | 893 | 19.56% | 16.39% |
3 | 西班牙 | 267 | 2.76% | 2.31% |
4 | 芬兰 | 134 | 1.38% | 1.16% |
5 | 澳大利亚 | 125 | 1.29% | 1.08% |
共:9678 | ||||
2.9 一些可能产生危害的例子
下面列举一些笔者找到的一些可能存在漏洞的工控设备的“搜索关键字”:
SHODAN关键字 | 数量 | 类别 | 注释 |
A850+Telemetry+Gateway | 25 | Telemetry | 遥感测量网关 SNMP 161 |
ABB+Webmodule | 11 | ABB HMI | ABB上位机 197.225.29.25 84 176.227.138.87 82 admin/admin |
Allen-Bradley | 4,232 | PAC | 先进制造设备 96.1.71.147 44818 枚举PAC信息 |
/BroadWeb/ | 6 | Advantech HMI | 研华上位机 197.255.75.211 220.130.247.196 admin/??? |
Cimetrics+Eplus+Web+Server | 14 | BACNet HMI | BACNet上位机 128.2.127.123 admin/admin |
CIMPLICITY | 51 | GE HMI | GE上位机 |
EIG+Embedded+Web+Server | 105 | EIG HMI | EIG上位机 190.102.62.89 82 |
eiPortal | 40 | EnergyICT Historian | EnergyICT历史数据库 62.213.212.137 |
EnergyICT | 563 | EnergyICT RTU | EnergyICT RTU 123.209.219.165 |
HMS+AnyBus-S+WebServer | 43 | HMS HMI | HMS上位机 173.181.212.202 |
i.LON | 3,153 | Streetlight HMI | Streetlight上位机 5.185.107.42 8080 |
ioLogik | 176 | MOXA Ethernet IO Server | MOXA以太转换卡 96.1.25.110 |
Modbus+Bridge | 110 | Modbus Bridge | Modbus网桥 telnet 9999 90.80.103.10 |
ModbusGW | 47 | anyBus gateway | anyBus网关 149.100.170.19 8112 admin/admin |
Modicon+M340+CPU | 57 | Schneider PLC | Schneider PLC SNMP 161 |
Niagara+Web+Server | 21,366 | Niagara HMI | Niagara上位机 User/pass??? |
Powerlink | 1,647 | Visonic HMI or PLC | Visonic上位机 或 PLC SNMP 161 HTTP |
Reliance+4+Control+Server | 6 | SCADA HMI | SCADA上位机 User/pass??? |
RTS+Scada | 7 | SCADA HMI | SCADA上位机 User/pass??? |
RTU560 | 5 | ABB RTU | ABB RTU 80.166.191.18 80 |
Simatic+HMI+port:"161" | 61 | SIEMENS PLC | SIEMENS PLC 205.168.255.125 80 |
Simatic+port:"102" | 2,877 | SIEMENS PLC | SIEMENS PLC 166.130.136.193 80 |
SoftPLC | 672 | Penzion Avalanche PLC | Penzion Avalanche PLC 90.182.98.52 80 |
TAC/Xenta | 2011年报告1880,目前0 奇怪?! |
注释:标红表示敏感且可能造成危害的设备
未完待续
文/ Dustin
声明:本文来自网信防务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
