ZoomEye功能介绍(上)
一、检索功能
熟悉和理解搜索语句才能获取更有价值的数据。ZoomEye 支持在搜索框直接输入字符串进行全文检索或者模糊检索,还支持针对地理位置、设备类型、组件名称、证书有效性等的检索过滤器和搜索语法。比如检索端口为 80 且组件名称是 webcam的网络空间资产,搜索语句是 port:80 +app:webcam,检索结果如图 4-4 所示。更详细的使用示例可以参考本书“附录”中的过滤器和语法说明,也可以参考 ZoomEye首页上的“搜索助手”和“搜索配置”。
图 4-4 搜索语句示例
为了方便不熟悉搜索语法的用户使用,ZoomEye 还提供可视化查询功能。用户可以通过图形化的引导步骤完成搜索语句的拼接,即选择对应关键词、输入查询内容、增加判断语法,即可生成查询语句(见图 4-5)。
图 4-5 可视化查询功能
ZoomEye 的过滤器和搜索语法,与业界其他搜索引擎类似,降低了用户在多款搜索引擎间切换的难度。比如 Shodan 的过滤器和语法与 ZoomEye 基本一致,而Google Hacking 中的 Dork 语句 intitle:"Login" intext:"cam",也可以很方便地转换为ZoomEye 的搜索语句 title:"Login" +title:"cam",如图 4-6 所示。
图 4-6 检索语句示例
ZoomEye 可以对 Banner 内容进行分词测试。如图 4-7 所示,某资产的 Banner中包含十六进制报文,通过分词测试功能可以发现“ \xff\xfb\x01\xff\xfe\x01\xff\xfb\x03\xff\xfd\x03CSE-M53N”这段报文在 ZoomEye 数据库中存储的内容为“ xff, xfb, x01, xff, xfe, x01, xff, xfb, x03, xff, xfd, x03cse, m53n”。显然,如果用户直接输入这段“ \xff\xfb\x01\xff\xfe\x01\xff\xfb\x03\xff\xfd\x03CSE-M53N”字符串是无法精准检索到同类资产的,正确的搜索语句应该是“ xff +xfb +x01 +xff +xfe +x01 +xff +xfb +x03 +xff +xfd +x03cse +m53n”。
图 4-7 Banner 内容分词测试
ZoomEye 支持对检索语句中引号或者反斜杠等分隔符的转义操作。如图 4-8 所示,对“<meta http-equiv="Content-Type"”进行检索,如果不使用“智能转义”功能,会被解释为检索 Banner 中包含“ <meta”或者“ http-equiv=”或者“ "ContentType"”的资产。很明显,检索结果会非常多,达到 47 亿条。
图 4-8 不使用“智能转义”功能
使用“智能转义”功能后,系统会将检索语句当成一个整体“<meta http-equiv="Content-Type"”在 Banner 中进行检索(见图 4-9)。此时的检索结果才是准确的。
图 4-9 使用“智能转义”功能
ZoomEye 通过支持逻辑运算语法、支持对 Banner 中不可显示字符的转义操作、支持细粒度分类查询等功能,以及提供对 Banner 内容进行分词测试等工具,可以让用户灵活地挖掘到更丰富、更准确的资产数据。
二、数据下载功能
除了可以在 Web 界面显示查询结果,ZoomEye 也支持对查询到的网络空间资产数据进行下载。下载功能入口在查询结果界面的右上角,支持导出 JSON、CSV、XLSX 三种格式,方便用户查看和编辑。系统默认导出网络空间资产的全部数据内容,包括 IP 地址、端口号、Banner、测绘时间、应用、探针、传输协议、rdns 等。其还支持下载导出内容、灵活配置字段,如图 4-10 所示。
导出数据可以在用户的“个人资料”的“下载列表”页进行下载。由于存储空间限制,这些数据可以保留 7 天。
图 4-10 下载功能
三、数据订阅功能
用户除了通过搜索语句来检索网络空间资产外,还可以利用“数据订阅”功能(见图 4-11)来主动监控重点资产的变化情况。用户也可以通过“数据订阅”功能中的 IP 订阅模式,对关注目标进行主动扫描,保障数据的实时性,操作步骤如下。
图 4-11 数据订阅
(1)创建数据订阅
单击“个人资料”-“数据订阅”进入功能页面,然后单击“新建订阅”。
参数说明如下。
1)订阅名称:每次订阅任务需要创建一个名称(见图 4-12),以便对订阅任务进行管理。每个用户最多创建 30 个订阅任务。
图 4-12 订阅名称
2)订阅类型:包括“IP 订阅”和“语句订阅”两种类型(见图 4-13)。设置“IP订阅”可主动触发扫描行为;设置“语句订阅”,系统可自动将搜索语句涉及的资产的变化情况反馈给用户。
图 4-13 订阅类型
其中,“ IP 订阅”支持对 IPv4 地址、IPv6 地址、域名地址的订阅(见图 4-14),可根据用户选择的订阅周期触发主动扫描任务。一个订阅任务最多支持 2560 个域名地址或者 IP 地址的主动扫描。
图 4-14 IP 订阅
“语句订阅”支持通过查询语句进行订阅,可根据用户选择的订阅周期收集观测目标的变化情况(见图 4-15)。需要注意的是,由于订阅功能需要消耗用户积分,而过于模糊的搜索语句的结果数量通常会很大,这将导致用户积分消耗过多。建议尽量使用精准的搜索语句进行订阅,比如 +port:2455 +service:"CoDeSyS" +city: 纽约,可用来订阅纽约市端口为 2455 的工控协议 CoDeSys 的网络空间资产变化情况。
图 4-15 语句订阅
3)订阅周期:包括每天、每 5 天、每 15 天(见图 4-16)。系统可根据用户选择的周期,定期执行订阅任务。
图 4-16 订阅周期
4)订阅逻辑(IP 订阅模式下):可以额外增加过滤器条件(见图 4-17),将过滤后的数据结果更精准地推送给用户。
图 4-17 订阅逻辑
5)是否接收订阅数据:当选择“是”时,系统会将订阅任务的结果以邮件形式发送到用户注册的邮箱(见图 4-18)。
图 4-18 订阅数据推送
(2)订阅推送报告
如果选择接收订阅数据,当订阅任务完成后,系统会自动将一些常用维度的聚合统计分析结果、订阅数据的变化趋势图、新增 IP 数据列表(见图 4-19)等内容发送到用户注册邮箱。
图 4-19 新增 IP 数据列表
(3)数据变化趋势可视化显示
基于订阅任务的长期监测,系统自动生成数据变化趋势图(监测时间范围可以自定义),如图 4-20 所示。
图 4-20 数据变化趋势
系统还提供订阅明细查询,支持导出订阅任务期间结果变化数据,方便用户进行分析(见图 4-21)。
图 4-21 订阅明细
系统还支持下载订阅数据,如图 4-22 所示。
图 4-22 订阅数据下载
