Приветствую,
уважаемый читатель!
Мне
очень импонируют сообщества и специалисты, которые безвозмездно предоставляют
какую-либо полезную информацию или полезные аналитические инструменты. Одним из
лидеров тут является поисковик Shodan,
с помощью которого можно найти и узнать очень много всего! О нем сегодня и
поговорим.
Адрес
поисковика - https://www.shodan.io, для
полноценного использования необходимо завести учетную запись.
В
строку поиска можно вбивать разнообразные запросы, по аналогии с любым
поисковиком, но необходимо учитывать, что данный поисковик нацелен не на поиск
текстовой информации с сайтов, а на поиск сетевых устройств, приложений,
серверов, web-камер,
и т.д., которые подключены к сети Интернет. Таким образом, вбив слово «Apache» в Яндекс и Shodan результат
будет сильно отличаться.
Можно
задавать более сложные поиски, например, поискать MySQL-сервера на базе Linux в
США.
os:Linux port:3306 country:"US"
Подробнее
почитать про поиск можно тут - https://help.shodan.io/the-basics/search-query-fundamentals
. Для интеграции Shodan
со сторонними системами в разделе «My Account» необходимо скопировать
персональный API
Key.
Для
получения данных при помощи Shodan
можно
использовать различные варианты подключения к нему. Перечислены они тут - https://developer.shodan.io/api/clients.
Но, в простейшем примере для получения информации об IP-адресе достаточно небольшого
скрипта на PS,
который выполнит http-запрос
на https://api.shodan.io:
Param(
[string]$ip_shod
)
$uri = "https://api.shodan.io/shodan/host/$ip_shod"+"?key=2Y45N4FM4EAP6xxxxxxxxxxxxxx"
$Shodan = Invoke-RestMethod
-Method Get
-Uri $uri
"AS -> " + $Shodan.asn
"ISP -> " + $Shodan.isp
"Ports: "
$Shodan.ports
"Hostname -> " + $Shodan.Hostnames
"Country
-> "
+ $Shodan.country_name
Параметр
key –
это ваш персональный API
Key
из учетки Shodan.
Интеграция Shodan
со Splunk.
Для
подключения Shodan
как
источника событий есть готовые решения. Первое: «Hurricane Labs
Search
Addon
for
Shodan».
Данное дополнение позволяет применять в строке поиска специальный SPL оператор
«| shodan».
Перед началом работы с
дополнением необходимо выполнить первоначальную настройку, а именно в разделе «SA Shodan Setup» ввести свой персональный
API
Key.
Теперь
в строке поиска вбиваем: | shodan 80.78.250.26
Возможности данного
дополнения можно расширить, установив специальное приложение «Hurricane Labs App for Shodan».
Для работы данного
приложения дополнение «Hurricane Labs Search Addon for Shodan» должно быть
обязательно установлено. Работать с приложением достаточно просто, вбиваем IP-адрес, который необходимо прогнать
через Shodan,
в разделе «Configure». После этого, в
разделе «Overview»
будет информация по IP-адресу.
Приложение
сохраняет полученную информацию от Shodan в специальный json-файл (приведен на скриншоте),
который также можно распарсить по своему усмотрению.
Всем удачи J
Комментариев нет:
Отправить комментарий