附录A:Banner格式

以下是有关banner的最新属性字段列表(若要查看最新的,请访问在线文档):

常用属性

名称 描述 举例
asn 自治系统号 AS4837
data 服务的主要banner HTTP/1.1 200…
ip 整数型的IP地址格式 493427495
ip_str 字符串型IP 199.30.15.20
ipv6 字符串型IPv6 2001:4860:4860::8888
port 服务的端口号 80
timestamp 收集信息的日期 2014-01-15T05:49:56.283713
hash 数据属性的散列值 Numeric hash of the data property
hostnames 目标IP的主机名 [“shodan.io”, “www.shodan.io”]
domains 目标IP的所有域名 [“shodan.io”]
link 网络连接类型 以太网/调制解调器
location 设备的物理地址 见下文
opts 补充或者实验数据不包含在主要的banner中
org 分配IP的组织 Google Inc.
isp 负责IP空间的ISP Verizon Wireless
os 操作系统 Linux
uptime IP上线时间 50
tags 描述设备用途的标签列表(仅供企业型账号使用) ["ics", "vpn"]
transport 用于收集banner的传输协议(UDP或者是TCP) tcp

Elastic属性

下列属性是为 Elastic (曾经的 ElasticSearch)收集的:

名称 描述
elastic.cluster 有关集群的一般信息
elastic.indices 集群上可用的索引列表
elastic.nodes 群集的节点/对等点列表及其信息

HTTP(S)属性

Shodan遵循HTTP响应的重定向,并将所有中间数据存储在banner中。抓取工具不遵循重定向的情况是HTTP请求被重定向到HTTPS位置,反之亦然:

名称 描述
http.components 用于创建网站的网络技术
http.host 发送主机名来抓取网站的HTML
http.html 网站的HTML内容
http.html_hash http.html属性的数字散列
http.location 最终的HTML响应的位置
http.redirects 遵循的重定向列表。每个重定向项目有3个属性:主机,数据和位置
http.robots robots.txt文件的网站
http.server HTTP响应的服务器头
http.sitemap 网站的Sitemap XML
http.title 网站的标题

位置属性

名称 描述
area_code 设备位置的区号
city 城市名称
country_code 2个字母组成的国家代码
country_code3 3个字母组成的国家代码
country_name 国家的全名
dma_code 指定市场区号(仅限美国)
latitude 纬度
longitude 经度
postal_code 邮政编码
region_code 地区代码

SMB属性

名称 描述
smb.anonymous 服务是否允许匿名连接(true/false)
smb.capabilities 服务支持的功能列表
smb.shares 可用的网络共享列表
smb.smb_version 用于收集信息的协议版本
smb.software 提供服务的软件
smb.raw 服务器发送的十六进制编码数据包列表; 如果想做SMB解析,这很有用

SSH属性

名称 描述
ssh.cipher 协商期间使用的密码
ssh.fingerprint 设备的指纹
ssh.kex 服务器支持的密钥交换算法列表
ssh.key 服务器的SSH密钥
ssh.mac 消息认证码算法

SSL 属性

如果服务使用SSL进行包装,则Shodan将执行附加测试,并在以下属性中提供结果:

名称 描述
ssl.acceptable_cas 服务器接受的证书颁发机构列表
ssl.cert 可解析的SSL证书
ssl.cipher SSL连接的首选密码
ssl.chain 从用户证书到根证书的SSL证书列表
ssl.dhparams Diffie-Hellman参数
ssl.tlsext 服务器支持的TLS扩展列表
ssl.versions 支持的SSL版本; 如果该值用-开头,则该服务不支持该版本(例如:“-SSLv2”是指不支持SSLv2的服务)

ISAKMP属性

以下为使用ISAKMP协议的VPN(例如IKE)收集的属性:

名称 描述
isakmp.initiator_spi 初始化器的hex编码的安全参数索引
isakmp.responder_spi 用于响应器的hex编码的安全参数索引
isakmp.next_payload 启动后发送的下一个载荷
isakmp.version 协议版本; 例如“1.0”
isakmp.exchange_type 交换类型
isakmp.flags.encryption 加密设置:true或false
isakmp.flags.commit 提交设置:true或false
isakmp.flags.authentication 认证设置:true或false
isakmp.msg_id 消息的十六进制编码标识
isakmp.length ISAKMP数据包的大小

特殊属性

_shodan

_shodan属性包含有关数据如何被Shodan收集的信息。它与其他属性不同,因为它不提供有关设备的信息。相反,它会告诉你Shodan使用哪一个banner抓取器来与目标IP交互。这对于探知服务器上的端口运行服务情况是很重要的。例如,80端口是最知名的Web服务端口,但它也被各种恶意软件用来规避防火墙规则,_shodan属性将让你知道是该端口否用HTTP模块来收集数据或是否使用了反恶意软件模块。

名称 描述
_shodan.crawler 识别Shodan爬取工具的唯一ID
_shodan.id 此banner的唯一ID
_shodan.module 爬虫抓取banner而使用SHodan模块的名称
_shodan.options 数据收集期间使用的配置选项
_shodan.hostname 发送Web请求时使用的主机名
_shodan.options.referrer 为某端口/服务触发扫描的banner的惟一ID

例子

{
   "timestamp": "2014-01-16T08:37:40.081917","timestamp": "2014-01-16T08:37:40.081917",
   "hostnames": ["hostnames": [
      "99-46-189-78.lightspeed.tukrga.sbcglobal.net""99-46-189-78.lightspeed.tukrga.sbcglobal.net"
   ],],
   "org": "AT&T U-verse","org": "AT&T U-verse",
   "guid": "1664007502:75a821e2-7e89-11e3-8080-808080808080","guid": "1664007502:75a821e2-7e89-11e3-8080-808080808080",
   "data": "NTP\nxxx.xxx.xxx.xxx:7546\n68.94.157.2:123\n68.94.156.17:123","data": "NTP\nxxx.xxx.xxx.xxx:7546\n68.94.157.2:123\n68.94.156.17:123",
   "port": 123,"port": 123,
   "isp": "AT&T U-verse","isp": "AT&T U-verse",
   "asn": "AS7018","asn": "AS7018",
   "location": {"location": {
      "country_code3": "USA","country_code3": "USA",
      "city": "Atlanta","city": "Atlanta",
      "postal_code": "30328","postal_code": "30328",
      "longitude": -84.3972,"longitude": -84.3972,
      "country_code": "US","country_code": "US",
      "latitude": 33.93350000000001,"latitude": 33.93350000000001,
      "country_name": "United States","country_name": "United States",
      "area_code": 404,"area_code": 404,
      "dma_code": 524,"dma_code": 524,
      "region_code": null"region_code": null
   },},
   "ip": 1664007502,"ip": 1664007502,
   "domains": ["domains": [
      "sbcglobal.net""sbcglobal.net"
   ],],
   "ip_str": "99.46.189.78","ip_str": "99.46.189.78",
   "os": null,"os": null,
   "opts": {"opts": {
      "raw": "\\x97\\x00\\x03*\\x00\\x03\\x00H\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x01G\\x06\\xa7\\x8ec.\\xbdN\\x00\\x00\\x00\\x01\\x1dz\\x07\\x02\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00q\\x00\\x00\\x00i\\x00\\x00\\x00\\x00\\x00\\x00\\x00XD^\\x9d\\x02c.\\xbdN\\x00\\x00\\x00\\x01\\x00{\\x04\\x04\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00q\\x00\\x00\\x00o\\x00\\x00\\x00\\x00\\x00\\x00\\x00YD^\\x9c\\x11c.\\xbdN\\x00\\x00\\x00\\x01\\x00{\\x04\\x04\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00","raw": "\\x97\\x00\\x03*\\x00\\x03\\x00H\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x01G\\x06\\xa7\\x8ec.\\xbdN\\x00\\x00\\x00\\x01\\x1dz\\x07\\x02\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00q\\x00\\x00\\x00i\\x00\\x00\\x00\\x00\\x00\\x00\\x00XD^\\x9d\\x02c.\\xbdN\\x00\\x00\\x00\\x01\\x00{\\x04\\x04\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00q\\x00\\x00\\x00o\\x00\\x00\\x00\\x00\\x00\\x00\\x00YD^\\x9c\\x11c.\\xbdN\\x00\\x00\\x00\\x01\\x00{\\x04\\x04\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00",
      "ntp": {"ntp": {
         "more": false"more": false
      }}
   }}
}}

results matching ""

    No results matching ""