如何阻止 Shodan 扫描仪

ivye 服务器知识 245 阅读

注意:这可能是不必要的。IP 地址阻止列表可能会执行相同的阻止操作...

Shodan是一个搜索引擎,它不会索引网站或网络内容,而是索引互联网上易受攻击的设备。为了设置此索引并使其保持最新状态,Shodan 使用了至少 16 台具有不同 AS 编号和不同物理位置的扫描仪。

如果您想阻止这些扫描仪,本指南可能会有所帮助。

设置主机定义

首先,在防火墙菜单中设置主机定义,并放入以下主机(将 rDNS 名称作为主机名可能很有用):

已知的Shodan扫描仪(最后更新于2022-02-16)   最新扫描列表

rDNS 名称 IP地址 位置
shodan.io((目前尚不清楚这是否是扫描仪IP)) 208.180.20.97 US
census1.shodan.io 198.20.69.74 US
census2.shodan.io 198.20.69.98 US
census3.shodan.io 198.20.70.114 US
census4.shodan.io 198.20.99.130 NL
census5.shodan.io 93.120.27.62 RO
census6.shodan.io 66.240.236.119 US
census7.shodan.io 71.6.135.131 US
census8.shodan.io 66.240.192.138 US
census9.shodan.io 71.6.167.142 US
census10.shodan.io 82.221.105.6 IS
census11.shodan.io 82.221.105.7 IS
census12.shodan.io 71.6.165.200 US
atlantic.census.shodan.io 188.138.9.50 DE
pacific.census.shodan.io 85.25.103.50 DE
rim.census.shodan.io 85.25.43.94 DE
pirate.census.shodan.io 71.6.146.185 US
ninja.census.shodan.io 71.6.158.166 US
border.census.shodan.io 198.20.87.98 US
burger.census.shodan.io 66.240.219.146 US
atlantic.dns.shodan.io 209.126.110.38 US
blog.shodan.io((目前尚不清楚这是否是扫描仪IP)) 104.236.198.48 US
hello.data.shodan.io 104.131.0.69 US
www.shodan.io((目前尚不清楚这是否是扫描仪IP)) 162.159.244.38 US

2019 年 <> 月添加了以下其他条目:

rDNS 名称 IP地址 位置
battery.census.shodan.io 93.174.95.106 SC
cloud.census.shodan.io 94.102.49.193 SC
dojo.census.shodan.io 80.82.77.139 SC
flower.census.shodan.io(仅限 PTR) 94.102.49.190 SC
goldfish.census.shodan.io 185.163.109.66 RO
house.census.shodan.io 89.248.172.16 SC
inspire.census.shodan.io(仅限 PTR) 71.6.146.186 US
mason.census.shodan.io 89.248.167.131 SC
ny.private.shodan.io 159.203.176.62 US
turtle.census.shodan.io(仅限 PTR) 185.181.102.18 RO
sky.census.shodan.io 80.82.77.33 SC
shodan.io(仅限 PTR) 216.117.2.180 US

2022 年 <> 月添加了以下其他条目:

rDNS 名称 IP地址 位置
einstein.census.shodan.io 71.6.199.23 US
hat.census.shodan.io 185.142.236.34 NL
red.census.shodan.io 185.165.190.34 US
soda.census.shodan.io 71.6.135.131 US
wine.census.shodan.io 185.142.236.35 NL

21 年 2022 月 <> 日添加了以下附加条目:

rDNS 名称 IP地址 位置
wall.census.shodan.io 66.240.219.133 US
floss.census.shodan.io 143.198.225.197 US
dog.census.shodan.io 137.184.95.216 US
draft.census.shodan.io 64.227.90.185 US
can.census.shodan.io 143.198.238.87 US
pack.census.shodan.io 137.184.190.205 US
jug.census.shodan.io 137.184.112.192 US
elk.census.shodan.io 137.184.190.188 US
tab.census.shodan.io 167.172.219.157 US
buffet.census.shodan.io 143.110.239.2 US
deer.census.shodan.io 143.198.68.20 US

30 年 2022 月 <> 日添加了以下其他条目:

rDNS 名称 IP地址 位置
sparkle.census.shodan.io 137.184.190.194 US
fish.census.shodan.io 137.184.190.246 US
heimdal.scan6x.shodan.io(仅限 PTR) 137.184.9.17 US
gravy.scanf.shodan.io(仅限 PTR) 137.184.13.100 US
scanme.scanf.shodan.io(仅限 PTR) 137.184.94.133 US
frame.census.shodan.io(仅限 PTR) 137.184.112.103 US
collector.chrono.shodan.io(仅限 PTR) 137.184.180.190 US
ships.data.shodan.io 143.198.50.234 US

30 年 2022 月 16 日添加了以下其他条目。这些是通过使用上述 IP 地址,然后扫描包含多个 IP 地址的任何 /<> 子网获得的。他们不一定被看到扫描。注意:同一个 rDNS 记录可以由多个 IP 返回:

rDNS 名称 IP地址 位置
green.census.shodan.io 185.142.236.36 NL
blue.census.shodan.io 185.142.236.40 NL
guitar.census.shodan.io 185.142.236.41 NL
blue2.census.shodan.io 185.142.236.43 NL
red2.census.shodan.io 185.142.239.16 NL
census2.shodan.io 198.20.69.96/29 US
census3.shodan.io 198.20.70.112/29 US
border.census.shodan.io 198.20.87.96/29 US
census4.shodan.io 198.20.99.128/29 NL
malware-hunter.census.shodan.io 66.240.205.34 US
refrigerator.census.shodan.io 71.6.146.130 US
board.census.shodan.io 71.6.147.198 US
tesla.census.shodan.io 71.6.147.254 US
thor.data.shodan.io 71.6.150.153 US
grimace.data.shodan.io 71.6.167.125 US
house.census.shodan.io 89.248.172.7 NL

资料来源:自己的研究,日志评论。

18 年 2023 月 <> 日添加了以下其他条目:

rDNS 名称 IP地址 位置
manfo.census.shodan.io 165.227.62.247 US
kiwi.census.shodan.io 165.227.55.4 US
red1.census.shodan.io 216.117.2.180 US
red3.census.shodan.io 195.144.21.56 CH
purple.census.shodan.io 185.165.190.17 CH

Shodan也有自己的IP封锁,其中的IP封锁在过去几天里一直非常活跃。207.90.244.0/24207.90.244.0/28

资料来源:自己的研究、日志评论

贡献者注!
如果您已经放弃了臭名昭著的“AS29073 Quasi Networks LTD”中的范围,那么您已经禁止了上面详述的“SC”(塞舌尔)来源;这些范围已由 AS202425 继承。“AS9009 M247 Ltd”为大多数“RO”(罗马尼亚)来源做出了贡献;此外,M247 (AS9009) 似乎是大多数 NordVPN/pureVPN 和许多低成本脚本小子 VPN 的出口点。防火墙对它们“安静”很有用。shodan和m247之间的相互作用似乎非常接近。

您可以为每个主机添加注释,例如“scanner”或“shodan”,以明确添加这些内容的原因。

也可以在此处阻止其他常见的扫描仪。但是,请记住,这不是一种可扩展性很强的技术。如果可能,请考虑运行 IPS

Project 25499扫描仪(最后更新日期:2016-02-28)

rDNS 名称 IP地址 位置
scanner01.project25499.com 98.143.148.107 US
scanner02.project25499.com 155.94.254.133 US
scanner03.project25499.com 155.94.254.143 US
scanner04.project25499.com 155.94.222.12 US
scanner05.project25499.com 98.143.148.135 US

来源:http://project25499.com/

设置防火墙组

其次,设置防火墙组并将所有这些主机条目添加到其中。向此防火墙组添加标题和注释。在本指南中,我们假设您已将该组命名为“shodanscanners”。

设置防火墙规则

第三,创建新的防火墙规则。将“shodanscanners”组设置为源。对于目标,请使用“标准网络”并将其设置为“任何”。将“规则操作”设置为“删除”。

此处不建议设置“拒绝”,因为防火墙将向触发防火墙规则的主机发送 ICMP 状态消息。但是,通过这种方式,主机知道至少会发送 ICMP 错误。为了避免这种情况,“丢弃”是合适的,因为网络数据包将被静默丢弃,并且无法判断(无需额外扫描)目标 IP 地址是否刚刚关闭或丢弃网络包。

如果需要,请输入注释,然后点击“添加”以设置新的防火墙规则。

请确保将此规则放在接受某些内容的规则(即端口转发规则)之前,以便立即阻止 shodan 扫描流量。

重新加载防火墙引擎以应用新规则。

此规则的局限性

OpenVPN服务将不受保护 - OVPNINPUT防火墙链位于此规则将登陆的链之上。

本指南的局限性

没有人(也没有任何东西)是完美的。本指南也不是。;-)

例如,如果 Shodan 扫描程序的 IP 地址发生更改,则防火墙规则可能毫无用处,并且不再提供针对扫描程序的任何保护。考虑设置 IPS 以获得额外的保护,因为那里的某些规则还会阻止此处未提及的其他扫描仪。

阻止 Shodan 扫描仪很好,但我想阻止所有扫描仪
这基本上是可能的。但是,设置一个涵盖属于扫描程序的所有 IP 的防火墙主机组是一场噩梦。(找出这些 IP 地址也是一场噩梦,因为大多数扫描器不只是将它们放在他们的网站上......如果您也有类似的想法,那么将 IPS 与合适的规则(这只是一个示例,还有很多)相结合可能是适合您的解决方案。

文章版权归原作者所有或来自互联网,未经允许请勿转载。如有侵权请联系我删除,谢谢!
THE END
分享
二维码
打赏
< <上一篇
下一篇>>
文章目录
关闭
目 录