新手入门:用FOFA、360Quake、Shodan、ZoomEye这四大网络测绘工具,5分钟快速定位暴露在公网的资产
5分钟紧急排查:用四大网络测绘工具发现暴露资产
想象一下这样的场景:某天深夜,你突然收到安全团队的紧急通知——公司的一台数据库服务器被检测到暴露在公网,随时可能被攻击者入侵。更糟糕的是,这台服务器存储着核心业务数据。此时,你需要快速确认:还有哪些资产可能处于类似风险中?这就是网络空间测绘工具的用武之地。
对于安全运维人员和技术爱好者来说,FOFA、360Quake、Shodan和ZoomEye这四大网络测绘工具就像互联网的"搜索引擎",但它们搜索的不是网页内容,而是直接暴露在公网的各种设备和服务。掌握它们的基础用法,能在关键时刻帮你快速定位风险点,把安全隐患扼杀在萌芽阶段。
1. 为什么你需要立即检查暴露资产
每次网络安全事件发生后,调查结果中总会出现这样一条:"某服务因配置错误暴露在公网"。2023年某云服务商的数据泄露事件,根源就是一台Redis服务器被意外设置为允许公网访问。攻击者利用这个入口,最终获取了数百万用户数据。
暴露在公网的常见高危资产包括:
- 数据库服务(MySQL、Redis、MongoDB等)
- 远程管理接口(SSH、RDP、Telnet)
- 监控摄像头和管理系统
- 未授权访问的API接口
- 测试环境中的敏感系统
这些资产一旦暴露,轻则导致信息泄露,重则可能成为攻击者入侵内网的跳板。使用网络测绘工具进行自查,应该成为每个运维人员的必备技能。
注意:本文所有技术操作仅限用于自查自有资产或获得明确授权的测试,未经授权扫描他人系统可能涉及法律风险。
2. FOFA:中文用户友好的资产搜索引擎
作为国内最流行的网络空间测绘平台,FOFA以其简洁的中文界面和丰富的中国地区数据见长。它的基础查询语法直观易懂,特别适合快速上手。
基础查询三步法:
- 打开FOFA官网并登录(注册需要企业邮箱)
- 在搜索框输入查询语句
- 分析结果并记录风险IP
假设你想检查公司是否有Elasticsearch服务暴露在公网,可以使用这个查询:
port="9200" && body="You Know, for Search"这个语句会搜索所有开放9200端口且响应中包含Elasticsearch特征字符串的服务。
FOFA常用查询模板:
| 查询目标 | 示例语法 | 说明 |
|---|---|---|
| 暴露的Redis | port="6379" && protocol=="redis" | 查找开放6379端口的Redis |
| 网络摄像头 | title="摄像头登录" | 搜索摄像头登录页面 |
| 某域名所有服务 | domain="example.com" | 查找该域名下的所有资产 |
对于初次使用的用户,建议从"高级搜索"功能入手,它提供了图形化的筛选条件,能自动生成查询语法。
3. 360Quake:精准的中国本土资产识别
360Quake是奇安信推出的网络空间测绘系统,特别强化了对中国境内资产的识别能力。它的数据更新频率高,对各类IoT设备和工业控制系统有专门的指纹识别。
快速查询暴露的数据库服务:
port:9200 AND response:"You Know, for Search"与FOFA相比,360Quake的语法有细微差异(使用冒号而非等号),但逻辑相似。它的优势在于:
- 更丰富的中国区域数据:特别是政企单位的公开资产
- 详细的协议分析:能识别各类工控协议和专用设备
- 风险标签系统:自动标记已知漏洞的资产
典型应用场景:
- 检查公司IP段是否有未知的公开服务
- 发现遗留的测试系统或临时开放端口
- 监控供应链厂商的资产暴露情况
4. Shodan:全球覆盖最广的资产搜索引擎
Shodan是这类工具的鼻祖,拥有最全面的全球互联网资产数据库。虽然界面是英文的,但它的图形化查询构建器让基础搜索变得非常简单。
使用Shodan查找暴露服务的技巧:
- 访问Shodan官网并注册账号
- 在搜索框尝试基础查询,如:
port:3389 country:"CN"这会列出中国境内开放远程桌面服务(RDP)的主机。
- 利用"Exploits"标签查看相关漏洞信息
Shodan特色功能对比:
| 功能 | 优势 | 适用场景 |
|---|---|---|
| 地图视图 | 直观显示资产地理分布 | 分析全球资产部署 |
| 过滤器 | 支持上百种筛选条件 | 精确查找特定类型设备 |
| 监控功能 | 持续跟踪指定IP或服务的状态变化 | 长期资产监控 |
| 漏洞关联 | 直接显示已识别漏洞 | 快速风险评估 |
对于英文不好的用户,Shodan的浏览器插件可以实时翻译页面内容,降低使用门槛。
5. ZoomEye:专注网络设备识别的专业工具
ZoomEye由知道创宇开发,在网络设备识别方面有独特优势。它支持多种高级搜索语法,包括基于JARM和Iconhash的资产识别技术。
基础查询示例:
port:9200+"You Know, for Search"ZoomEye的三大特色:
- 网络设备深度识别:能准确识别路由器、防火墙等网络设备的型号和版本
- 历史数据对比:可以查看资产随时间的变化情况
- 证书透明度监控:跟踪SSL证书的部署情况,发现异常证书
操作建议流程:
- 确定要检查的IP范围或域名
- 选择适当的搜索语法(可从预设模板开始)
- 分析结果,重点关注:
- 未知的开放服务
- 使用默认凭证的系统
- 已知漏洞的软件版本
6. 发现暴露资产后的紧急处理步骤
查到暴露资产只是第一步,更重要的是快速响应。以下是建议的应急流程:
- 立即隔离:通过防火墙或安全组限制访问源
- 评估风险:检查是否包含敏感数据或系统权限
- 修复配置:
- 关闭不必要的公网访问
- 启用认证机制
- 更新到最新安全版本
- 全面排查:使用相同方法检查其他类型服务
- 建立监控:设置定期扫描,防止问题复发
常见错误处理方式:
- 仅关闭端口而不检查是否已遭入侵
- 修复后不验证是否真正生效
- 忽略同类型其他资产的检查
在实际工作中,我们曾遇到客户修复MySQL公网暴露问题后,却遗漏了同样暴露的Redis服务。攻击者正是通过这个遗漏点最终入侵了系统。全面检查至关重要。
网络空间测绘工具是把双刃剑。用得好,它是守护网络安全的利器;滥用则可能带来法律风险。建议每个技术团队都建立定期的资产暴露检查机制,把这类工具纳入正规的安全运维流程中,而不是仅用于应急响应。