网络空间普查与网络测绘主要是以TCP、UDP、ICMP等探测技术对网络空间中资产的连通性、网络属性、资产类型、服务返回标识展开大规模主动采集分析,通过收集网络空间中关键基础设施、网络设备、物联网、工业控制系统等各类资产的服务标识情况、运行情况信息,最终得到网络资产详细分布情况、网络流行漏洞分布、基础设施网络基础架构情况。
网络空间资源情报作为重要的战略、情报资源,通过网络空间普查与网络测绘作为情报信息的主要来源,已经成为了一种关键技术,近年网络资源测绘也成为了社区、团队研究全球网络安全威胁趋势的主流分析手段。随着大数据架构、网络空间扫描技术的发展,从事全球的网络服务资源测绘和普查、网络基础架构资源测绘和普查、网络资产暴露面分析逐渐普及。
但目前任何安全研究个人和安全研究团队机构,要开展网络空间普查与网络测绘均是一个涉及分布式、大数据的系统工程。一般情况下普查与测绘平台系统需要基于分布式架构设计,虽然随着扫描技术的发展,无状态扫描工具的出现使得在网络情况允许的情况下,能够快速探测IPv4 40亿IP地址的网络空间成为可能,但如果对于监测端口范围的增加,无疑时间成本将会成倍的增加,为了提高监测周期与监测效率,则需要投入高速的网络节点和更多的硬件资源。
本系列研究报告将以知名网络空间普查与网络测绘组织、项目作为研究对象,从测绘手段、网络环境、运行方式等技术面,展开重点分析,本研究报告的第一期内容主要以对各知名网络空间普查与网络测绘组织、项目情况的简要介绍为主。
注:本研究报告部分数据基于实验室监测数据分析得出,排名不分先后,不排除与实际运行情况存在差异,如果您对本研究报告的任何细节感兴趣,亦或技术交流、数据或信息更正添加,均可和我们取得联系,邮箱:[email protected]
Shodan(shodan.io)
Shodan是一个主机、联网设备搜索引擎,由John Matherly创建,使用Shodan时,通过特定的语法即可搜索出海量的物联网设备、摄像头、路由器、打印机、SCADA系统、PLC等各类资产,Shodan支持各类应用服务识别,扫描超过300个TCP/UDP网络端口上服务的Banner标识,Shodan拥有超过30个高速独立监测节点。
Censys(censys.io)
Censys是密歇根大学Zmap发明者创建的一个科学研究性质项目,目前已经商业孵化,Censys长期专注全球Internet互联网扫描,并对互联网用户开放部分数据搜索功能,Censys拥有超过500个连续互联网地址的监测节点。
Shadowserver Foundation(www.shadowserver.org)
Shadowserver是全球领先的恶意活动调查、互联网安全报告的公益组织,Shadowserver维护着世界上最大的安全信息存储库之一,它存储了数以万亿计的历史恶意网络连接,同时Shadowserver每天扫描整个互联网超过50种协议暴露情况,用于查找可能用于攻击利用的配置错误或存在恶意行为的系统,Shadowserver拥有超过20个监测节点。
Net Systems Research(www.netsystemsresearch.com)
Net Systems Research是一个独立的研究组织,专注于Internet安全方面的研究,其中包括IoT、零信任网络等,Net Systems Research调查和分析现实世界的网络系统,Net Systems Research拥有超过100个监测节点。
Stretchoid(stretchoid.com)
Stretchoid是一个可别组织在线服务的平台,历史使用超过3000个监测节点。
Internet Census Group (www.internet-census.org)
Internet Census Group使用非侵入式数据收集技术来扫描全球Internet,以分析趋势并确定行业的安全性,数据收集技术涉及 到互联网上可公开访问的计算机和设备的Internet Census Group拥有超过80个监测节点。
University of Michigan(cse.engin.umich.edu)
密歇根大学计算机科学与工程(CSE)系自2013年以来便开始了全球互联网开放端口、服务标识数据收集。密歇根大学的这项研究项目可以帮助科学家测量全球互联网服务部署情况和安全趋势,该测量扫描研究项目使用4个连续的C类子网互联网IP地址进行全网监测。
Rapid7(opendata.rapid7.com)
Rapid7是全球知名的安全风险信息解决方案提供商,Sonar项目是Rapid7的一个安全研究项目,该项目针对不同的服务、协议进行全Internet范围内的调查,用于以洞悉全球常见漏洞,项目收集的数据可供公众公开下载用于安全研究使用,Sonar项目拥有超过200个节点。
IPIP.NET(IPIP.NET)
IPIP.NET长期专注IP地理位置以及IP画像数据的研究、整理与发行,IPIP.NET隶属于北京天特信科技有限公司,主力产品 IP 地理位置数据库主要基于 BGP/ASN 数据以及遍布全球的网络监测点进行城市级 IP 地域数据标注,IPIP.NET拥有超过100个监测节点。
ZoomEye(www.zoomeye.org)
ZoomEye是一款国内的老牌网络空间的搜索引擎,由北京知道创宇信息技术有限公司管理与运营,ZoomEye收录了互联网空间中的海量设备、网站及其使用的服务或组件等信息,根据公开信息显示ZoomEye拥有超过500个监测节点。
FOFA(fofa.so)
FOFA是白帽汇推出的一款网络空间资产搜索引擎,FOFA覆盖了更完善的IT设备搜索, 拥有全球联网IT设备更全的DNA信息,FOFA由北京华顺信安科技有限公司管理与运营,根据公开信息显示FOFA监测范围超过200个协议、300个端口,超过100个监测节点。
InterneTTL(www.internettl.org)
InterneTTL是一个研究项目,用于标识Internet上的服务器。InterneTTL通过连续扫描Internet上的每台主机,为IT和安全团队提供对实时活动的服务器的实,InterneTTL项目拥有超过20个节点。
Adscore(www.adscore.com)
Adscore是一个广告反欺诈检测服务,Adscore使用多种技术来检测欺诈性访问流量,Adscore通过实时流量分析,区分人工,代理,低质量,机器人流量。Adscore由PopAds.net背后团队创建,Adscore共有拥有超过30个监测节点。
SNMP Scanning Project(opensnmpproject.org)
OpenSNMPProject是一个互联网SNMP扫描项目,项目扫描并识别SNMP团体名默认为public的互联网IP。
SSDP Scanning Project(openssdpproject.org)
OpenSSDPProject是一个互联网SSDP服务项目。
ONYPHE(www.onyphe.io)
ONYPHE是一个开源和网络威胁情报数据的搜索引擎,ONYPHE通过扫描Internet上可用的数据来源合通过收集Internet背景噪音流量来获取数据,同时ONYPHE也会主动扫描超过100个端口,ONYPHE除提供在线查询服务外,也提供高速API接口,用户可以通过注册进行搜索相关风险数据,ONYPHE拥有超过20个监测节点。
Cybergreen(www.cybergreen.net)
CyberGreen Institute是一家全球性的非营利性合作组织,通过更具弹性和更健康的全球互联网生态系统,为全球公共利益服务。CyberGreen在该生态系统中遵循透明的工作方式,为社区确定风险来源和最佳实践。CyberGreen通过扫描Internet,以检测相关系统中存在的漏洞。CyberGreen每周进行五次整个Internet扫描,每一次扫描都针对不同的服务(UPNP,DNS,NTP,SNMP和CHARGEN)。
Openportstats(openportstats.com)
Openportstats是一个开放端口信息收集项目,Openportstats主要收集全球开放端口和联网设备信息。
Group-IB(www.group-ib.com)
Group-IB是一个网络安全解决方案提供商,Group-IB在检测和预防网络攻击,在线欺诈和IP保护方面是领先的提供商之一,Group-IB的威胁情报系统已被Gartner,Forrester和IDC评为同类最佳的系统之一。
Binaryedge(www.binaryedge.io)
Binaryedge是一个由分布式扫描器和蜜罐组成的数据搜集分析平台,Binaryedge通过结合网络安全,工程和数据科学领域的能力,致力于获取、分析和分类互联网数据。Binaryedge定期分享有关网络安全研究,Binaryedge共有拥超过监测节点60个。
NETSCOUT(www.arbor-observatory.com)
NETSCOUT|Arbor Networks Research Scanner是Arbor Networks的威胁情报部门制定的网络安全研究扫描器,NETSCOUT收集已受感染的主机,潜在滥用的主机以及其他恶意行为,Arbor Networks Research Scanner使用一个1个C类互联网IP地址进行全网监测。
Criminal IP(security.criminalip.com)
Criminal IP是一个以安全研究为目的的端口信息收集项目,Criminal IP在全网范围内使用非侵入式端口扫描进行端口信息数据收集。
Winnti Scan(winnti-scanner-victims-will-be-notified.threatsinkhole.com)
Winnti Scanner是一个Winnti恶意软件检测扫描器,Winnti Scan Host通过模拟握手行为来检测互联网主机是否感染Winnti恶意软件。
