如何阻止 Shodan 扫描仪
注意:这可能是不必要的。IP 地址阻止列表可能会执行相同的阻止操作...
Shodan是一个搜索引擎,它不会索引网站或网络内容,而是索引互联网上易受攻击的设备。为了设置此索引并使其保持最新状态,Shodan 使用了至少 16 台具有不同 AS 编号和不同物理位置的扫描仪。
如果您想阻止这些扫描仪,本指南可能会有所帮助。
设置主机定义
首先,在防火墙菜单中设置主机定义,并放入以下主机(将 rDNS 名称作为主机名可能很有用):
已知的Shodan扫描仪(最后更新于2022-02-16) 最新扫描列表
rDNS 名称 | IP地址 | 位置 |
---|---|---|
shodan.io((目前尚不清楚这是否是扫描仪IP)) | 208.180.20.97 | US |
census1.shodan.io | 198.20.69.74 | US |
census2.shodan.io | 198.20.69.98 | US |
census3.shodan.io | 198.20.70.114 | US |
census4.shodan.io | 198.20.99.130 | NL |
census5.shodan.io | 93.120.27.62 | RO |
census6.shodan.io | 66.240.236.119 | US |
census7.shodan.io | 71.6.135.131 | US |
census8.shodan.io | 66.240.192.138 | US |
census9.shodan.io | 71.6.167.142 | US |
census10.shodan.io | 82.221.105.6 | IS |
census11.shodan.io | 82.221.105.7 | IS |
census12.shodan.io | 71.6.165.200 | US |
atlantic.census.shodan.io | 188.138.9.50 | DE |
pacific.census.shodan.io | 85.25.103.50 | DE |
rim.census.shodan.io | 85.25.43.94 | DE |
pirate.census.shodan.io | 71.6.146.185 | US |
ninja.census.shodan.io | 71.6.158.166 | US |
border.census.shodan.io | 198.20.87.98 | US |
burger.census.shodan.io | 66.240.219.146 | US |
atlantic.dns.shodan.io | 209.126.110.38 | US |
blog.shodan.io((目前尚不清楚这是否是扫描仪IP)) | 104.236.198.48 | US |
hello.data.shodan.io | 104.131.0.69 | US |
162.159.244.38 | US |
2019 年 <> 月添加了以下其他条目:
rDNS 名称 | IP地址 | 位置 |
---|---|---|
battery.census.shodan.io | 93.174.95.106 |
SC |
cloud.census.shodan.io | 94.102.49.193 |
SC |
dojo.census.shodan.io | 80.82.77.139 |
SC |
flower.census.shodan.io(仅限 PTR) | 94.102.49.190 |
SC |
goldfish.census.shodan.io | 185.163.109.66 |
RO |
house.census.shodan.io | 89.248.172.16 |
SC |
inspire.census.shodan.io(仅限 PTR) | 71.6.146.186 |
US |
mason.census.shodan.io | 89.248.167.131 |
SC |
ny.private.shodan.io | 159.203.176.62 |
US |
turtle.census.shodan.io(仅限 PTR) | 185.181.102.18 |
RO |
sky.census.shodan.io | 80.82.77.33 |
SC |
shodan.io(仅限 PTR) | 216.117.2.180 |
US |
2022 年 <> 月添加了以下其他条目:
rDNS 名称 | IP地址 | 位置 |
---|---|---|
einstein.census.shodan.io | 71.6.199.23 |
US |
hat.census.shodan.io | 185.142.236.34 |
NL |
red.census.shodan.io | 185.165.190.34 |
US |
soda.census.shodan.io | 71.6.135.131 |
US |
wine.census.shodan.io | 185.142.236.35 |
NL |
21 年 2022 月 <> 日添加了以下附加条目:
rDNS 名称 | IP地址 | 位置 |
---|---|---|
wall.census.shodan.io | 66.240.219.133 |
US |
floss.census.shodan.io | 143.198.225.197 |
US |
dog.census.shodan.io | 137.184.95.216 |
US |
draft.census.shodan.io | 64.227.90.185 |
US |
can.census.shodan.io | 143.198.238.87 |
US |
pack.census.shodan.io | 137.184.190.205 |
US |
jug.census.shodan.io | 137.184.112.192 |
US |
elk.census.shodan.io | 137.184.190.188 |
US |
tab.census.shodan.io | 167.172.219.157 |
US |
buffet.census.shodan.io | 143.110.239.2 |
US |
deer.census.shodan.io | 143.198.68.20 |
US |
30 年 2022 月 <> 日添加了以下其他条目:
rDNS 名称 | IP地址 | 位置 |
---|---|---|
sparkle.census.shodan.io | 137.184.190.194 |
US |
fish.census.shodan.io | 137.184.190.246 |
US |
heimdal.scan6x.shodan.io(仅限 PTR) | 137.184.9.17 |
US |
gravy.scanf.shodan.io(仅限 PTR) | 137.184.13.100 |
US |
scanme.scanf.shodan.io(仅限 PTR) | 137.184.94.133 |
US |
frame.census.shodan.io(仅限 PTR) | 137.184.112.103 |
US |
collector.chrono.shodan.io(仅限 PTR) | 137.184.180.190 |
US |
ships.data.shodan.io | 143.198.50.234 |
US |
30 年 2022 月 16 日添加了以下其他条目。这些是通过使用上述 IP 地址,然后扫描包含多个 IP 地址的任何 /<> 子网获得的。他们不一定被看到扫描。注意:同一个 rDNS 记录可以由多个 IP 返回:
rDNS 名称 | IP地址 | 位置 |
---|---|---|
green.census.shodan.io | 185.142.236.36 |
NL |
blue.census.shodan.io | 185.142.236.40 |
NL |
guitar.census.shodan.io | 185.142.236.41 |
NL |
blue2.census.shodan.io | 185.142.236.43 |
NL |
red2.census.shodan.io | 185.142.239.16 |
NL |
census2.shodan.io | 198.20.69.96/29 |
US |
census3.shodan.io | 198.20.70.112/29 |
US |
border.census.shodan.io | 198.20.87.96/29 |
US |
census4.shodan.io | 198.20.99.128/29 |
NL |
malware-hunter.census.shodan.io | 66.240.205.34 |
US |
refrigerator.census.shodan.io | 71.6.146.130 |
US |
board.census.shodan.io | 71.6.147.198 |
US |
tesla.census.shodan.io | 71.6.147.254 |
US |
thor.data.shodan.io | 71.6.150.153 |
US |
grimace.data.shodan.io | 71.6.167.125 |
US |
house.census.shodan.io | 89.248.172.7 |
NL |
资料来源:自己的研究,日志评论。
18 年 2023 月 <> 日添加了以下其他条目:
rDNS 名称 | IP地址 | 位置 |
---|---|---|
manfo.census.shodan.io | 165.227.62.247 |
US |
kiwi.census.shodan.io | 165.227.55.4 |
US |
red1.census.shodan.io | 216.117.2.180 |
US |
red3.census.shodan.io | 195.144.21.56 |
CH |
purple.census.shodan.io | 185.165.190.17 |
CH |
Shodan也有自己的IP封锁,其中的IP封锁在过去几天里一直非常活跃。207.90.244.0/24
207.90.244.0/28
资料来源:自己的研究、日志评论
贡献者注! |
---|
如果您已经放弃了臭名昭著的“AS29073 Quasi Networks LTD”中的范围,那么您已经禁止了上面详述的“SC”(塞舌尔)来源;这些范围已由 AS202425 继承。“AS9009 M247 Ltd”为大多数“RO”(罗马尼亚)来源做出了贡献;此外,M247 (AS9009) 似乎是大多数 NordVPN/pureVPN 和许多低成本脚本小子 VPN 的出口点。防火墙对它们“安静”很有用。shodan和m247之间的相互作用似乎非常接近。 |
您可以为每个主机添加注释,例如“scanner”或“shodan”,以明确添加这些内容的原因。
也可以在此处阻止其他常见的扫描仪。但是,请记住,这不是一种可扩展性很强的技术。如果可能,请考虑运行 IPS。
Project 25499扫描仪(最后更新日期:2016-02-28)
rDNS 名称 | IP地址 | 位置 |
---|---|---|
scanner01.project25499.com | 98.143.148.107 | US |
scanner02.project25499.com | 155.94.254.133 | US |
scanner03.project25499.com | 155.94.254.143 | US |
scanner04.project25499.com | 155.94.222.12 | US |
scanner05.project25499.com | 98.143.148.135 | US |
设置防火墙组
其次,设置防火墙组并将所有这些主机条目添加到其中。向此防火墙组添加标题和注释。在本指南中,我们假设您已将该组命名为“shodanscanners”。
设置防火墙规则
第三,创建新的防火墙规则。将“shodanscanners”组设置为源。对于目标,请使用“标准网络”并将其设置为“任何”。将“规则操作”设置为“删除”。
此处不建议设置“拒绝”,因为防火墙将向触发防火墙规则的主机发送 ICMP 状态消息。但是,通过这种方式,主机知道至少会发送 ICMP 错误。为了避免这种情况,“丢弃”是合适的,因为网络数据包将被静默丢弃,并且无法判断(无需额外扫描)目标 IP 地址是否刚刚关闭或丢弃网络包。
如果需要,请输入注释,然后点击“添加”以设置新的防火墙规则。
请确保将此规则放在接受某些内容的规则(即端口转发规则)之前,以便立即阻止 shodan 扫描流量。
重新加载防火墙引擎以应用新规则。
此规则的局限性
OpenVPN服务将不受保护 - OVPNINPUT防火墙链位于此规则将登陆的链之上。
本指南的局限性
没有人(也没有任何东西)是完美的。本指南也不是。;-)
例如,如果 Shodan 扫描程序的 IP 地址发生更改,则防火墙规则可能毫无用处,并且不再提供针对扫描程序的任何保护。考虑设置 IPS 以获得额外的保护,因为那里的某些规则还会阻止此处未提及的其他扫描仪。
阻止 Shodan 扫描仪很好,但我想阻止所有扫描仪
这基本上是可能的。但是,设置一个涵盖属于扫描程序的所有 IP 的防火墙主机组是一场噩梦。(找出这些 IP 地址也是一场噩梦,因为大多数扫描器不只是将它们放在他们的网站上......如果您也有类似的想法,那么将 IPS 与合适的规则(这只是一个示例,还有很多)相结合可能是适合您的解决方案。
共有 0 条评论