附录A:Banner格式
以下是有关banner的最新属性字段列表(若要查看最新的,请访问在线文档):
常用属性
名称 |
描述 |
举例 |
asn |
自治系统号 |
AS4837 |
data |
服务的主要banner |
HTTP/1.1 200… |
ip |
整数型的IP地址格式 |
493427495 |
ip_str |
字符串型IP |
199.30.15.20 |
ipv6 |
字符串型IPv6 |
2001:4860:4860::8888 |
port |
服务的端口号 |
80 |
timestamp |
收集信息的日期 |
2014-01-15T05:49:56.283713 |
hash |
数据属性的散列值 |
Numeric hash of the data property |
hostnames |
目标IP的主机名 |
[“shodan.io”, “www.shodan.io”] |
domains |
目标IP的所有域名 |
[“shodan.io”] |
link |
网络连接类型 |
以太网/调制解调器 |
location |
设备的物理地址 |
见下文 |
opts |
补充或者实验数据不包含在主要的banner中 |
|
org |
分配IP的组织 |
Google Inc. |
isp |
负责IP空间的ISP |
Verizon Wireless |
os |
操作系统 |
Linux |
uptime |
IP上线时间 |
50 |
tags |
描述设备用途的标签列表(仅供企业型账号使用) |
["ics", "vpn"] |
transport |
用于收集banner的传输协议(UDP或者是TCP) |
tcp |
Elastic属性
下列属性是为 Elastic (曾经的 ElasticSearch)收集的:
名称 |
描述 |
elastic.cluster |
有关集群的一般信息 |
elastic.indices |
集群上可用的索引列表 |
elastic.nodes |
群集的节点/对等点列表及其信息 |
HTTP(S)属性
Shodan遵循HTTP响应的重定向,并将所有中间数据存储在banner中。抓取工具不遵循重定向的情况是HTTP请求被重定向到HTTPS位置,反之亦然:
名称 |
描述 |
http.components |
用于创建网站的网络技术 |
http.host |
发送主机名来抓取网站的HTML |
http.html |
网站的HTML内容 |
http.html_hash |
http.html属性的数字散列 |
http.location |
最终的HTML响应的位置 |
http.redirects |
遵循的重定向列表。每个重定向项目有3个属性:主机,数据和位置 |
http.robots |
robots.txt文件的网站 |
http.server |
HTTP响应的服务器头 |
http.sitemap |
网站的Sitemap XML |
http.title |
网站的标题 |
位置属性
名称 |
描述 |
area_code |
设备位置的区号 |
city |
城市名称 |
country_code |
2个字母组成的国家代码 |
country_code3 |
3个字母组成的国家代码 |
country_name |
国家的全名 |
dma_code |
指定市场区号(仅限美国) |
latitude |
纬度 |
longitude |
经度 |
postal_code |
邮政编码 |
region_code |
地区代码 |
SMB属性
名称 |
描述 |
smb.anonymous |
服务是否允许匿名连接(true/false) |
smb.capabilities |
服务支持的功能列表 |
smb.shares |
可用的网络共享列表 |
smb.smb_version |
用于收集信息的协议版本 |
smb.software |
提供服务的软件 |
smb.raw |
服务器发送的十六进制编码数据包列表; 如果想做SMB解析,这很有用 |
SSH属性
名称 |
描述 |
ssh.cipher |
协商期间使用的密码 |
ssh.fingerprint |
设备的指纹 |
ssh.kex |
服务器支持的密钥交换算法列表 |
ssh.key |
服务器的SSH密钥 |
ssh.mac |
消息认证码算法 |
SSL 属性
如果服务使用SSL进行包装,则Shodan将执行附加测试,并在以下属性中提供结果:
名称 |
描述 |
ssl.acceptable_cas |
服务器接受的证书颁发机构列表 |
ssl.cert |
可解析的SSL证书 |
ssl.cipher |
SSL连接的首选密码 |
ssl.chain |
从用户证书到根证书的SSL证书列表 |
ssl.dhparams |
Diffie-Hellman参数 |
ssl.tlsext |
服务器支持的TLS扩展列表 |
ssl.versions |
支持的SSL版本; 如果该值用- 开头,则该服务不支持该版本(例如:“-SSLv2”是指不支持SSLv2的服务) |
ISAKMP属性
以下为使用ISAKMP协议的VPN(例如IKE)收集的属性:
名称 |
描述 |
isakmp.initiator_spi |
初始化器的hex编码的安全参数索引 |
isakmp.responder_spi |
用于响应器的hex编码的安全参数索引 |
isakmp.next_payload |
启动后发送的下一个载荷 |
isakmp.version |
协议版本; 例如“1.0” |
isakmp.exchange_type |
交换类型 |
isakmp.flags.encryption |
加密设置:true或false |
isakmp.flags.commit |
提交设置:true或false |
isakmp.flags.authentication |
认证设置:true或false |
isakmp.msg_id |
消息的十六进制编码标识 |
isakmp.length |
ISAKMP数据包的大小 |
特殊属性
_shodan
_shodan
属性包含有关数据如何被Shodan收集的信息。它与其他属性不同,因为它不提供有关设备的信息。相反,它会告诉你Shodan使用哪一个banner抓取器来与目标IP交互。这对于探知服务器上的端口运行服务情况是很重要的。例如,80端口是最知名的Web服务端口,但它也被各种恶意软件用来规避防火墙规则,_shodan
属性将让你知道是该端口否用HTTP模块来收集数据或是否使用了反恶意软件模块。
名称 |
描述 |
_shodan.crawler |
识别Shodan爬取工具的唯一ID |
_shodan.id |
此banner的唯一ID |
_shodan.module |
爬虫抓取banner而使用SHodan模块的名称 |
_shodan.options |
数据收集期间使用的配置选项 |
_shodan.hostname |
发送Web请求时使用的主机名 |
_shodan.options.referrer |
为某端口/服务触发扫描的banner的惟一ID |
例子
{
"timestamp": "2014-01-16T08:37:40.081917","timestamp": "2014-01-16T08:37:40.081917",
"hostnames": ["hostnames": [
"99-46-189-78.lightspeed.tukrga.sbcglobal.net""99-46-189-78.lightspeed.tukrga.sbcglobal.net"
],],
"org": "AT&T U-verse","org": "AT&T U-verse",
"guid": "1664007502:75a821e2-7e89-11e3-8080-808080808080","guid": "1664007502:75a821e2-7e89-11e3-8080-808080808080",
"data": "NTP\nxxx.xxx.xxx.xxx:7546\n68.94.157.2:123\n68.94.156.17:123","data": "NTP\nxxx.xxx.xxx.xxx:7546\n68.94.157.2:123\n68.94.156.17:123",
"port": 123,"port": 123,
"isp": "AT&T U-verse","isp": "AT&T U-verse",
"asn": "AS7018","asn": "AS7018",
"location": {"location": {
"country_code3": "USA","country_code3": "USA",
"city": "Atlanta","city": "Atlanta",
"postal_code": "30328","postal_code": "30328",
"longitude": -84.3972,"longitude": -84.3972,
"country_code": "US","country_code": "US",
"latitude": 33.93350000000001,"latitude": 33.93350000000001,
"country_name": "United States","country_name": "United States",
"area_code": 404,"area_code": 404,
"dma_code": 524,"dma_code": 524,
"region_code": null"region_code": null
},},
"ip": 1664007502,"ip": 1664007502,
"domains": ["domains": [
"sbcglobal.net""sbcglobal.net"
],],
"ip_str": "99.46.189.78","ip_str": "99.46.189.78",
"os": null,"os": null,
"opts": {"opts": {
"raw": "\\x97\\x00\\x03*\\x00\\x03\\x00H\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x01G\\x06\\xa7\\x8ec.\\xbdN\\x00\\x00\\x00\\x01\\x1dz\\x07\\x02\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00q\\x00\\x00\\x00i\\x00\\x00\\x00\\x00\\x00\\x00\\x00XD^\\x9d\\x02c.\\xbdN\\x00\\x00\\x00\\x01\\x00{\\x04\\x04\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00q\\x00\\x00\\x00o\\x00\\x00\\x00\\x00\\x00\\x00\\x00YD^\\x9c\\x11c.\\xbdN\\x00\\x00\\x00\\x01\\x00{\\x04\\x04\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00","raw": "\\x97\\x00\\x03*\\x00\\x03\\x00H\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x01G\\x06\\xa7\\x8ec.\\xbdN\\x00\\x00\\x00\\x01\\x1dz\\x07\\x02\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00q\\x00\\x00\\x00i\\x00\\x00\\x00\\x00\\x00\\x00\\x00XD^\\x9d\\x02c.\\xbdN\\x00\\x00\\x00\\x01\\x00{\\x04\\x04\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00q\\x00\\x00\\x00o\\x00\\x00\\x00\\x00\\x00\\x00\\x00YD^\\x9c\\x11c.\\xbdN\\x00\\x00\\x00\\x01\\x00{\\x04\\x04\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00",
"ntp": {"ntp": {
"more": false"more": false
}}
}}
}}