网空测绘就是另一形态的Google

admin 2022年7月5日02:12:43评论12 views字数 2446阅读8分9秒阅读模式

悟空、三藏法师端坐在女儿国山顶,山顶一个凉台上清风拂过,正好看到脚下云卷云舒,女儿国太热情,他俩很不自在,还是到了山顶,才觉得自己的智慧和思路又回归了,又可以探讨最新的网络安全技术了。

网空测绘--就是另一形态的Google

悟空:师傅,网络空间测绘是什么?ZoomEye、Shodan、Fofa是怎么工作的?

三藏:网空测绘就是广度优先的Google

悟空:为什么是另一种Google?

三藏:Google是深度优先的专精网空测绘;ZoomEye、Shodan是广度优先的浅层测绘。

悟空:一个是深度、一个是广度?这如何理解?

三藏:你想想Google是如何工作的?

悟空:Google爬虫引擎访问服务器的80或8080或81或443端口,把返回的页面数据收录到分词文本搜索数据库中,然后再把页面中的网址顺着继续访问,把一个个页面都取回来存库,然后提供搜索,从一个服务器上,尽量把千千万万个页面都抓回来。

三藏:Google访问的端口多么?

悟空:不多,都是HTTP协议相关端口为主,就几个

三藏:从每个端口获取的数据多么?

悟空:多,尽量把这个端口能获得的一切页面,所有内容都获取了。对了,这就是从专精的几个端口,深度获取数据,果然是深度优先专精抓取测绘引擎。

三藏:那么你能理解ZoomEye了么?

悟空:就是把每个开放的端口都连接一次,用标准协议请求数据,把服务器返回数据存储在数据库,供查询检索?

三藏:对,就是这样,而且平均而言,只获取服务器每个端口的一个标准返回数据。

悟空:不对每个端口,使劲抓取,抓个几千几万次?

三藏:不抓,只抓一次,或偶尔几次

悟空:难怪是广度浅层抓取测绘引擎。师傅,你说这得要部署多少服务器才能抓取全球0.0.0.0-255.255.255.255的所有数据呀!还不说那么多IPv6地址!

三藏:应该需要很多服务器,Google爬虫服务器应该成千上万台

网空测绘--就是另一形态的Google

悟空:如果数据抓取服务器,对着一个目标IP使劲抓取,会不会影响目标IP的稳定性呀?

三藏:如果是你,会影响对方么?

悟空:不会,我会调节频率,尽一切可能不影响对方,否则不长久,只有我好你好大家好才能长久,才能做成Google这门生意。

三藏:我不想让这些引擎爬取我数据怎么办?

悟空:拒绝HTTP爬虫的话,按照约定成俗,robots文件中写上允许访问哪些,不允许访问哪些,对方爬虫就会遵从。

三藏:如何让ZoomEye或Shodan不抓取某个端口信息呢?

悟空:用iptables或主机防火墙UI页面,把对方爬虫加入黑名单即可,或者直接关闭这个端口的公网访问就行了。

三藏:现在清楚两种测绘引擎了吧?

悟空:Google就是专精深度测绘引擎,ZoomEye就是广度浅层引擎!但是,师傅,后面这种引擎有什么用呢?

三藏:如果你是一个城市的网络信息化安全负责人,新到岗,你如何展开工作?

悟空:第一个需要了解哪些关键单位的关键业务系统在互联网上,这些业务系统IP地址是多少?是否有安全防护?是否存在安全漏洞?是否已经被黑客入侵了……

三藏:第一步的信息从哪里来?

悟空:从网空测绘引擎ZoomEye来!

三藏:如果你要做态势感知,第一步做什么?

悟空:第一步了解我管辖范围内,哪些重要资产暴露在互联网侧了,是否存在风险!师傅,看来我应该是关心风险暴露面管控!然后关注风险变化!

三藏:如果你去一个大集团管网络信息安全,首先关心什么?

悟空:也是在互联网侧的风险暴露面!尽量减少资产风险暴露面!

三藏:然后呢?

悟空:然后在内网也进行网空测绘,把资产梳理清晰,把风险也管控起来!

三藏:外网资产和风险信息从哪里获得?

悟空:从网空测绘获得

三藏:主要从ZoomEye这类网空测绘引擎获得。

悟空:师傅,内网我从何处获得呢?

三藏:他们应该支持内网私有化部署吧,我是他们,肯定会出内网版本

悟空:的确是这个道理!师傅,是不是我有了网空测绘,然后进一步对测绘数据进行资产标定、风险识别、风险态势展示,我的态势感知就有了。

三藏:至少对资产风险的态势感知就有了。

悟空:下一步我应该做什么呢?

三藏:下一步就是发现有问题的,就提交工单,要求整改,整改完成工单才关闭,这样就把资产风险管理起来了,就不单单是态势感知,而是和指挥管控打通。

悟空:更进一步的态势感知和指挥控制还需要关注什么?

三藏:当然是关心来访者!

网空测绘--就是另一形态的Google

悟空:这个怎么关心?

三藏:如果访问你业务的,不是人,而是代理,并且总发一些不良言论,你要不要把这些IP识别出来,来的人身份ID标记出来?

悟空:这个重要!但我如何知道来访的人是来自代理 ?

三藏:网空测绘引擎知道呀,访问网空测绘引擎的API接口就知道了

悟空:为什么这几个访问我业务系统的IP地址,按理应该是普通人,为何网空测绘引擎返回的是IOT物联网设备?

三藏:你这几个业务是员工访问的业务?现在通过测绘引擎,告诉你实际来访的IP是物联网设备?

悟空:是呀?我很是不解

三藏:说明这些物联网设备被黑客入侵了,变成了跳板

悟空:这些可恶的跳板,还跑来发不良言论,有的还带入侵特征,师傅我是否可以根据这些特征直接封掉对方访问

三藏:当然可以,这就是威胁情报网关的妙用

悟空:威胁情报网关这么神奇?

三藏:还有更神奇的,能告诉你哪个IP在哪个GPS位置的哪个单位的哪个建筑的哪个房间,是哪个APT黑客组织的哪个ID成员用的!然后把这些最新情报信息实时同步给威胁情报网关,就可以拦截网络攻击了。

悟空:不明觉厉!还能这么用!

三藏:诸法无常,运用之妙,存乎一心,你好好参悟!

悟空:弟子谨遵教诲!

网空测绘--就是另一形态的Google


END.


虎王行动即将开始,大家莫慌



--



XFocus

XFocus

XFOCUS

,,2000亿



网空测绘--就是另一形态的Google




原文始发于微信公众号(神龙叫):网空测绘--就是另一形态的Google

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月5日02:12:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网空测绘就是另一形态的Googlehttp://cn-sec.com/archives/1156851.html

发表评论

匿名网友 填写信息