Shodan показывает, какие сервисы компании видны из интернета: сайт, почта, VPN, тестовые панели, старый RDP, забытый Jenkins или база, которую давно пора закрыть. Для специалиста по ИБ поисковик помогает быстро найти расхождения между документацией и реальным периметром.
Обычный поисковик ищет страницы, тексты и картинки, а Shodan собирает сведения о сервисах, доступных из интернета: IP-адресах, открытых портах, баннерах, версиях ПО, TLS-сертификатах, заголовках HTTP и сетевых протоколах. Сам Shodan называет себя поисковой системой для подключённых к интернету устройств.
ИБ-команда получает внешний срез инфраструктуры. Внутренний сканер проверяет сеть через корпоративные правила, VPN, сегментацию и доступы. Поисковик показывает картину со стороны интернета: какие узлы отвечают, какие панели раскрывают версии, какие сертификаты связаны с доменами и какие сервисы рассказывают о себе слишком много.
Что показывает Shodan и почему баннеры имеют значение
Сервис связывает найденные узлы с набором технических признаков. В карточке хоста могут быть IP-адрес, домен, организация, порт, протокол, страна, провайдер, название продукта, версия сервера, TLS-сертификат, HTTP-заголовки и фрагменты баннера. Открытый порт сам по себе не доказывает проблему, но порт вместе с версией и назначением сервиса быстро подсказывает направление проверки.
Баннеры помогают при первичной инвентаризации. Веб-сервер может выдать устаревшую версию Apache или nginx, VPN-шлюз может показать конкретный продукт, Redis или Elasticsearch могут оказаться доступными без ограничения по IP, а промышленный контроллер способен ответить протоколом, которому не место в открытом интернете. Подобные находки часто остаются после миграций, аварий, тестов и временных работ.
Поисковые фильтры убирают лишний шум из выдачи. Среди базовых фильтров есть org, net, port, product, country, hostname, has_vuln и ssl.cert.subject.cn. Полный список доступен в справочнике Shodan.
Фильтр net подходит для проверки диапазона компании, org помогает найти сервисы конкретной организации, product выводит узлы с нужным ПО, а has_vuln отбирает хосты, где Shodan связал баннеры с известными CVE. Метка уязвимости ускоряет сортировку находок, но не заменяет проверку версии, конфигурации и реального доступа.
Зачем Shodan специалисту по ИБ
Поисковик полезен при инвентаризации внешней поверхности атаки. Компания может считать, что наружу смотрят только сайт, почтовый шлюз и VPN, а в выдаче обнаружатся Grafana, Kibana, Kubernetes dashboard, NAS, IPMI, тестовый API, временный RDP для подрядчика или панель видеонаблюдения на складе. Чем раньше ИБ-команда найдёт лишний сервис, тем меньше шансов, что адрес первым заметит злоумышленник.
Поиск нужен после изменений в инфраструктуре. Релиз, переезд в облако, настройка CDN, подключение филиала или работа подрядчика могут открыть наружу лишний порт. Проверка через Shodan помогает увидеть новые адреса, свежие сертификаты, появившиеся панели и версии ПО, которые стали видны всему интернету.
При управлении уязвимостями сервис помогает быстро собрать список кандидатов на проверку. После публикации критической CVE для VPN, почтового шлюза, файлового сервера или панели удалённого доступа команда может проверить внешний периметр по продукту, порту, домену или диапазону. Дальше идут инженерные действия: подтверждение версии, сверка с владельцем, проверка патча и ограничений доступа.
В расследованиях Shodan помогает искать инфраструктурные связи по баннерам, сертификатам, favicon-хешам, доменным именам и повторяющимся настройкам. Аналитик может найти похожие панели, соседние узлы, фишинговые площадки или серверы управления. Совпадение технического признака не доказывает принадлежность к одной группе, но даёт нормальную зацепку для дальнейшей проверки.
- Инвентаризация: поиск публичных сервисов компании и подрядчиков.
- Аудит периметра: проверка открытых портов, баннеров, сертификатов и неожиданных панелей.
- Приоритизация CVE: поиск узлов, потенциально связанных с критическими уязвимостями.
- Контроль изменений: проверка внешней доступности после релизов, миграций и аварий.
- Расследования: поиск инфраструктурных связей без активного вмешательства в чужие системы.
Примеры запросов Shodan для проверки своего периметра
Запрос в Shodan должен отвечать на конкретный вопрос. Для проверки нужны домены, IP-диапазоны, автономные системы, облачные зоны и названия юридических лиц. Примеры ниже подходят для собственных активов или инфраструктуры, где у специалиста есть право на аудит.
Для поиска активов лучше начать с организации, домена и диапазона. Такой набор помогает собрать базовую выдачу и понять, какие адреса вообще попали в индекс.
org:"Example Corp"- найти сервисы, связанные с организацией.net:203.0.113.0/24- проверить конкретный диапазон IP-адресов.hostname:example.com- найти хосты, связанные с доменом.ssl.cert.subject.cn:example.com- посмотреть сертификаты с доменом компании.
Для поиска рискованных публикаций стоит отдельно проверить удалённый доступ, базы, панели администрирования и сервисы с известными CVE. Такие запросы быстро подсвечивают адреса, которые требуют ручной проверки.
net:203.0.113.0/24 port:3389- проверить, не открыт ли RDP в заданной сети.net:203.0.113.0/24 product:OpenSSH- найти SSH-сервисы и сравнить версии.hostname:example.com has_vuln:true- отобрать хосты, где Shodan видит признаки известных уязвимостей.org:"Example Corp" port:9200- проверить возможную публикацию Elasticsearch.
Пример из обычного аудита: команда проверяет диапазон компании и находит port:9200. В CMDB Elasticsearch не числится, владелец сервиса неизвестен, доступ по IP не ограничен. После сверки выясняется, что стенд поднимал подрядчик для тестов и не закрыл после проекта. Один запрос превращается в понятную задачу: закрыть доступ, назначить владельца и обновить реестр активов.
Находки из Shodan стоит сверять с DNS, CMDB, облачной консолью, журналами, системой управления уязвимостями и владельцем сервиса. Облачный IP мог перейти другому клиенту, баннер мог устареть, версия в заголовке могла остаться после обновления, а сервис мог закрыться уже после индексации. Поисковик даёт сигнал для проверки, а не окончательный диагноз.
Рабочий порядок выглядит так: выгрузить найденные сервисы, отметить новые порты, разделить находки на ожидаемые, спорные и явно лишние, назначить владельцев, закрыть ненужный доступ, обновить CMDB. Проверку стоит повторять после крупных релизов, миграций, аварий, подключения подрядчиков и публикации критических CVE для используемых продуктов.
Shodan стоит использовать только для законной проверки собственных активов, инфраструктуры работодателя при наличии полномочий или систем, где владелец прямо разрешил аудит. Попытки входа в чужие панели, перебор паролей, обход авторизации и эксплуатация найденных уязвимостей могут нарушать закон и правила провайдеров.
Где Shodan полезен, а где поисковик не заменит аудит
Shodan хорошо подходит для внешнего контроля. Сервис особенно полезен в инфраструктуре, которая быстро меняется: облака, удалённые офисы, временные стенды, публичные API, VPN, панели администрирования, тестовые окружения и подрядчики. Чем больше распределённых команд, тем выше шанс найти адрес, который никто не внёс в реестр активов.
Shodan не заменяет сканер уязвимостей, SIEM, EDR, CMDB, систему управления активами и процессы эксплуатации. Поисковик видит только доступные из интернета сервисы. Внутренние сегменты, закрытые панели, ошибки прав внутри приложений, бизнес-логика, слабые роли и проблемы в API останутся за пределами поиска.
Выдача может ошибаться или отставать от реального состояния инфраструктуры. Данные могли устареть, баннер мог соврать, CVE по версии могла оказаться ложноположительной, IP мог перейти другому владельцу, а часть сервисов поисковик не увидит из-за сетевых ограничений. Открытый порт 22 не означает компрометацию, порт 80 не всегда опасен, а карточка CVE требует подтверждения.
Специалисту нужны назначение сервиса, владелец, версия, доступность из интернета, MFA, ограничения по IP, журналирование, критичность данных и история изменений. Первый полезный шаг после знакомства с Shodan простой: взять список своих доменов и диапазонов, проверить выдачу, выгрузить найденные сервисы и сравнить результат с CMDB. Почти всегда найдётся адрес, который давно пора закрыть, обновить или передать владельцу на разбор.
FAQ
Что такое Shodan простыми словами?
Shodan - поисковик по сервисам и устройствам, доступным из интернета. Сервис показывает открытые порты, баннеры, версии ПО, сертификаты и другие внешние признаки хостов.
Чем Shodan отличается от Google?
Google ищет веб-страницы и контент, а Shodan ищет сетевые сервисы: серверы, панели управления, камеры, маршрутизаторы, базы данных, VPN-шлюзы и другие узлы, которые отвечают на сетевые запросы.
Можно ли использовать Shodan вместо сканера уязвимостей?
Нет. Shodan показывает внешний след, баннеры и признаки сервисов, а сканер проверяет конкретные версии, конфигурации и условия эксплуатации уязвимостей. В нормальном аудите оба инструмента дополняют друг друга.
Законно ли пользоваться Shodan?
Просмотр публичной выдачи не равен взлому, но проверять чужие панели, обходить авторизацию и использовать найденные уязвимости нельзя. Для работы в компании нужны полномочия на аудит.
Можно ли через Shodan найти уязвимости?
Shodan может показать признаки известных CVE по баннерам и версиям, но такая отметка требует ручной проверки. Реальный риск зависит от версии, конфигурации, патчей, доступа и окружения.
Нужен ли Shodan начинающему специалисту по ИБ?
Да, если использовать сервис на своих лабораторных стендах или разрешённой инфраструктуре. Shodan хорошо показывает связь между открытым портом, баннером, версией ПО и риском для внешнего периметра.
