SHODAN能力分析 (一)
SHODAN能力分析(一)
目 錄
1.基本能力概覽
1.1 SHODAN節點分佈
1.2 SHODAN關注的裝置及埠
1.3 SHODAN業務模式
2.工控態勢感知能力分析
2.1 從探測到的裝置製造商角度分析
2.2 從串列埠到以太口轉換卡製造商角度分析
2.3 從某行業/協議(BACNET/HAVC)製造商角度分析
2.4 從SIEMENS SIMATIC/ICCP(102埠)國家分佈角度分析
2.5 從MODBUS/TCP(502埠)國家分佈角度分析
2.6 從DNP3(20000埠)國家分佈角度分析
2.7 從Ethernet/IP(44818埠)國家分佈角度分析
2.8 從BACNet(47808埠)國家分佈角度分析
2.9 一些可能產生危害的例子
1. 基本能力概覽
1.1 SHODAN節點分佈
SHODAN是John Matherly在大學期間開發的“網路空間搜尋引擎”,已知Shodan使用15探測節點, 其中9個節點位於美國本土(3個節點位於東部的芝加哥,6個節點位於西海岸的聖地亞哥),6個節點位於歐洲,詳情如下表所示:
表1 Shodan節點詳情
| Shodan節點名稱 |
IP地址 |
地理位置 |
| census1.shodan.io |
198.20.69.74 |
Chicago Illinois United States |
| census2.shodan.io |
198.20.69.98 |
Chicago Illinois United States |
| census3.shodan.io |
198.20.70.114 |
Chicago Illinois United States |
| census4.shodan.io |
198.20.99.130 |
Netherlands |
| census5.shodan.io |
93.120.27.62 |
Romania |
| census6.shodan.io |
66.240.236.119 |
San Diego California United States |
| census7.shodan.io |
71.6.135.131 |
San Diego California United |
| census8.shodan.io |
66.240.192.138 |
San Diego California United |
| census9.shodan.io |
71.6.167.142 |
San Diego California United |
| census10.shodan.io |
82.221.105.6 |
Iceland |
| census11.shodan.io |
71.6.165.7 |
San Diego California United |
| census12.shodan.io |
71.6.165.200 |
San Diego California United |
| rim.census.shodan.io |
85.25.43.94 |
Germany |
| pacific.census.shodan.io |
85.25.103.50 |
Germany |
| atlantic.census.shodan.io |
188.138.9.50 |
Germany |
1.2 SHODAN關注的裝置及埠
SHODAN專注在對網路空間的“裝置級”探測,包括但不限於:
• 工控PLC
• 工控HMI(上位機)
• 工控組態軟體
• IP攝像頭
• IP攝像頭
• 串列埠轉換裝置(如Moxa卡等)
其早期關注的埠如下:
• FTP—Port 21
• Telnet—Port 23
• HTTP—Port 80
• SSH—Port 22
• SNMP—Port 161
• HTTPS—Port 443
其後期關注的埠如下:
• Siemens SIMATIC / ICCP—Port 102
• MODBUS/TCP –Port 502
• DNP3—Port 20000
• Ethernet/IP—Port 44818
• BACNet—Port 47808
1.3 SHODAN業務模式
其主要的業務模式如下,依靠掃描引擎(紅色橢圓),對外提供5種服務(藍色矩形),並進行使用者資料收集(綠色矩形),具體如下圖所示:
2. 工控態勢感知能力分析
由於2008年開始,美國土安全部(DHS)SHINE(SHodan INtelligence Extraction)計劃的推動,使得SHODAN對於工控裝置的識別能力大大提高,截止到2014年,SHODAN功能識別886種工控裝置,涉及182個工控廠商,包含2,186,971個工控裝置。
2.1 從探測到的裝置製造商角度分析
依據SHODAN發現的工控裝置數量,從製造商佔比的角度看,前11家制造商的裝置共586,997個,佔總量(2,186,971)的26.84%,他們是:
• ENERGYICT
• SIEMENS
• MOXA
• LANTRONIX
• NIAGARA
• GOAHEAD-WEB
• VXWORKS
• INTOTO
• ALLIED-TELESYS
• DIGI INTRERNATIONAL
• EMBEDTHIS-WEB
具體制造商分佈如下:
製造商 |
數量 |
佔比 |
|
| ENERGYICT |
106,235 |
18.10% |
|
| SIEMENS |
84,328 |
14.37% |
|
| MOXA |
78,309 |
13.34% |
|
| LANTRONIX |
56,239 |
9.58% |
|
| NIAGARA |
54,437 |
9.27% |
|
| GOAHEAD-WEB |
42,473 |
7.24% |
|
| VXWORKS |
34,759 |
5.92% |
|
| INTOTO |
34,686 |
5.91% |
|
| ALLIED-TELESYS |
34,573 |
5.89% |
|
| DIGI INTERNATIONAL |
30,557 |
5.21% |
|
| EMBEDTHIS-WEB |
30,381 |
5.17% |
|
2.2 從串列埠到以太口轉換卡製造商角度分析
依據SHODAN發現的工控裝置數量,從使用BACNET協議並應用於HAVC領域的製造商角度來看,前16家裝置共13,475個,佔總量(2,186,971)的0.62%,他們是:
• HEATMISER
• HONEYWELL
• YORK
• BACNET
• INTERNATIONAL
• TRANE
• JOHNSON CONTROLS
• CARRIER
• • TEMPERATURE GUARD
• LG ELECTRONICS
• LIEBERT
• CENTRALINE
• STULZ
• CONTROL4
• BOSCH AUTOMATION
• LENNOX
• CUMMINGS
具體制造商分佈如下:
製造商 |
數量 |
佔比 |
| HEATMISER |
6,487 |
48.13% |
| HONEYWELL |
3,588 |
26.63% |
| YORK |
921 |
6.83% |
| BACNET INTERNATIONAL |
560 |
4.16% |
| TRANE |
506 |
3.76% |
| JOHNSON CONTROLS |
460 |
3.41% |
| CARRIER |
234 |
1.74% |
| TEMPERATURE GUARD |
180 |
1.34% |
| LG ELECTRONICS |
145 |
1.08% |
| LIEBERT |
126 |
0.94% |
| CENTRALINE |
81 |
0.60% |
| STULZ |
77 |
0.57% |
| CONTROL4 |
38 |
0.28% |
| BOSCH AUTOMATION |
37 |
0.27% |
| LENNOX |
24 |
0.18% |
| CUMMINGS |
11 |
0.08% |
2.3 從某行業/協議(BACNET/HAVC)製造商角度分析
依據SHODAN發現的工控裝置數量,從串列埠到以太口(Serial—>Ethernet)的製造商角度來看,前6家裝置共204,416個,佔總量(2,186,971)的9.35%,他們是:
• MOXA
• LANTRONIX
• ALLIED TELESYS
• DIGI INTERNATIONAL
• ATOP SYSTEMS
• MULTITECH SYSTEMS
具體制造商分佈如下:
製造商 |
數量 |
佔比 |
| MOXA |
78,309 |
38.31% |
| LANTRONIX |
56,239 |
27.51% |
| ALLIED TELESYS |
34,573 |
16.91% |
| DIGI INTERNATIONAL |
30,557 |
14.95% |
| ATOP SYSTEMS |
3,846 |
1.88% |
| MULTITECH SYSTEMS |
892 |
0.44 |
2.4 從SIEMENS SIMATIC/ICCP(102埠)國家分佈角度分析
依據SHODAN發現的工控裝置數量,從SIEMENS的SIMATIC/ICCP協議分佈角度來看,前五個國家裝置共1802個,總體共3477個,他們是:
具體國家分佈如下:
序號 |
國家 |
數量 |
自身佔比(1802) |
總體佔比(3477) |
| 1 |
德國 |
691 |
38.35% |
19.87% |
| 2 |
義大利 |
513 |
28.47% |
14.75% |
| 3 |
美國 |
277 |
15.37% |
7.97% |
| 4 |
西班牙 |
247 |
13.71% |
7.10% |
| 5 |
土耳其 |
74 |
4.11% |
2.13% |
| 共:1802 |
||||
2.5 從MODBUS/TCP(502埠)國家分佈角度分析
依據SHODAN發現的工控裝置數量,從MODBUS/TCP協議分佈角度來看,前五個國家裝置共8,106個,總體共16,066個(PS:ZoomEye15年7月對MODBUS/TCP的掃描結果是39,588,說明一年多以來全球聯網MODBUS/TCP裝置增加了一倍多),他們是:
具體國家分佈如下:
| 序號 |
國家 |
數量 |
自身佔比(1802) |
總體佔比(3477) |
| 1 |
美國 |
4,089 |
50.44% |
25.45% |
| 2 |
西班牙 |
1,051 |
12.97% |
6.54% |
| 3 |
瑞典 |
1,016 |
12.53% |
6.32% |
| 4 |
義大利 |
982 |
12.11% |
6.11% |
| 5 |
法國 |
968 |
11.94% |
6.03% |
| 共:8106 |
||||
2.6 從DNP3(20000埠)國家分佈角度分析
依據SHODAN發現的工控裝置數量,從DNP3協議分佈角度來看,前五個國家裝置共515個,總體共625個,他們是:
具體國家分佈如下:
序號 |
國家 |
數量 |
自身佔比(1802) |
總體佔比(3477) |
| 1 |
美國 |
401 |
77.86% |
64.16% |
| 2 |
瑞典 |
55 |
10.68% |
8.80% |
| 3 |
斯洛伐克 |
28 |
5.44% |
4.48% |
| 4 |
義大利 |
18 |
3.50% |
2.88% |
| 5 |
土耳其 |
13 |
2.52% |
2.08% |
| 共:515 |
||||
2.7 從Ethernet/IP(44818埠)國家分佈角度分析
依據SHODAN發現的工控裝置數量,從DNP3協議分佈角度來看,前五個國家裝置共3537個,總體共4522個,他們是:
具體國家分佈如下:
序號 |
國家 |
數量 |
自身佔比(1802) |
總體佔比(3477) |
| 1 |
美國 |
2,384 |
67.40% |
52.72% |
| 2 |
374 |
10.57% |
8.27% |
|
| 3 |
韓國 |
314 |
8.88% |
6.94% |
| 4 |
義大利 |
281 |
7.94% |
6.21% |
| 5 |
西班牙 |
184 |
5.20% |
4.07% |
| 共:3537 |
||||
2.8 從BACNet(47808埠)國家分佈角度分析
依據SHODAN發現的工控裝置數量,從BACNet協議分佈角度來看,前五個國家裝置共9,678個,總體共11,553個,他們是:
具體國家分佈如下:
序號 |
國家 |
數量 |
自身佔比(1802) |
總體佔比(3477) |
| 1 |
美國 |
7,259 |
75.01% |
62.83% |
| 2 |
加拿大 |
893 |
19.56% |
16.39% |
| 3 |
西班牙 |
267 |
2.76% |
2.31% |
| 4 |
芬蘭 |
134 |
1.38% |
1.16% |
| 5 |
澳大利亞 |
125 |
1.29% |
1.08% |
| 共:9678 |
||||
2.9 一些可能產生危害的例子
下面列舉一些筆者找到的一些可能存在漏洞的工控裝置的“搜尋關鍵字”:
SHODAN關鍵字 |
數量 |
類別 |
註釋 |
| A850+Telemetry+Gateway |
25 |
Telemetry |
遙感測量閘道器SNMP 161 |
| ABB+Webmodule |
11 |
ABB HMI |
ABB上位機197.225.29.25 84176.227.138.87 82admin/admin |
| Allen-Bradley |
4,232 |
PAC |
先進製造裝置96.1.71.14744818列舉PAC資訊 |
| /BroadWeb/ |
6 |
Advantech HMI |
研華上位機197.255.75.211220.130.247.196admin/??? |
| Cimetrics+Eplus+Web+Server |
14 |
BACNet HMI |
BACNet上位機128.2.127.123admin/admin |
| CIMPLICITY |
51 |
GE HMI |
GE上位機 |
| EIG+Embedded+Web+Server |
105 |
EIG HMI |
EIG上位機190.102.62.89 82 |
| eiPortal |
40 |
EnergyICT Historian |
EnergyICT歷史資料庫62.213.212.137 |
| EnergyICT |
563 |
EnergyICT RTU |
EnergyICT RTU123.209.219.165 |
| HMS+AnyBus-S+WebServer |
43 |
HMS HMI |
HMS上位機173.181.212.202 |
| i.LON |
3,153 |
Streetlight HMI |
Streetlight上位機5.185.107.42 8080 |
| ioLogik |
176 |
MOXA Ethernet IO Server |
MOXA以太轉換卡96.1.25.110 |
| Modbus+Bridge |
110 |
Modbus Bridge |
Modbus網橋telnet 999990.80.103.10 |
| ModbusGW |
47 |
anyBus gateway |
anyBus閘道器149.100.170.19 8112admin/admin |
| Modicon+M340+CPU |
57 |
Schneider PLC |
Schneider PLCSNMP 161 |
| Niagara+Web+Server |
21,366 |
Niagara HMI |
Niagara上位機User/pass??? |
| Powerlink |
1,647 |
Visonic HMI or PLC |
Visonic上位機 或 PLCSNMP 161HTTP |
| Reliance+4+Control+Server |
6 |
SCADA HMI |
SCADA上位機User/pass??? |
| RTS+Scada |
7 |
SCADA HMI |
SCADA上位機User/pass??? |
| RTU560 |
5 |
ABB RTU |
ABB RTU80.166.191.18 80 |
| Simatic+HMI+port:"161" |
61 |
SIEMENS PLC |
SIEMENS PLC205.168.255.125 80 |
| Simatic+port:"102" |
2,877 |
SIEMENS PLC |
SIEMENS PLC166.130.136.193 80 |
| SoftPLC |
672 |
Penzion Avalanche PLC |
Penzion Avalanche PLC90.182.98.52 80 |
| TAC/Xenta |
2011年報告1880,目前0奇怪?! |
註釋:標紅表示敏感且可能造成危害的裝置
未完待續
文/ Dustin
宣告:本文來自網信防務,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。