Shodan (shodan.io), internette tarama yapmak ve belirli özelliklere sahip cihazları tespit etmek için tasarlanmış bir arama motorudur. Shodan ile FTP, SSH, Telnet, DNS gibi servislerin kullandığı portlar üzerinden tarama yapılabilmektedir. Bununla beraber cihaz adı üzerinden arama yapılabilmekte ve istatistiksel veriler elde edilebilmektedir. Shodan ile toplanabilecek bilgiler aşağıda listelenmiştir:
- HTTP başlık bilgisi
- FTP bannerları
- Telnet banner
- SMTP banner
- DNS server konfigürasyon ayarları
- HTML başlık ve body içeriği
- Fiziksel lokasyon
- İnternet servis sağlayıcısı (ISS/ISP)
Yukarıda listelenen bilgileri kolay bir şekilde elde edebilmek için arama operatörleri kullanılabilmektedir. Bazı arama operatörleri şu şekildedir:
- Title: HTML etiketi içeriği
- Html: Tüm HTML içeriği
- Product: Bannerda tanımlanan ürün veya yazılımın ismi
- Version: Ürün versiyonu
- Net: IP bloğu
- Port: Belirli portların tanımlanması
- Os: İşletim sistemi
- Country: Ülke
- City: Şehir
Arama operatörlerinin örnek kullanımı aşağıda gösterilmiştir:
- port: 502
- country: TR city:Ankara Schneider
- title: “Outlook Web Access” !port: 443
- net: 98.14.73.0/24
- html: ”eBay Inc. All Right Reserved”
- Microsoft-IIS/5.0 title:”outlook web
Yukarıdaki resimde
, ABD’de 443 portunu kullanan ve başlık bilgisinde “Outlook” sözcüğü geçen örnek bir arama gösterilmiştir.
Bununla beraber Shodan ile bir sistemin açık veya filtreleme mekanizmasına sahip portları tespit edilebilmektedir. Bunun için “scanhub.shodan.io” adlı web sitesi kullanılmaktadır. Aşağıdaki resimde örnek bir port taraması gösterilmiştir.
Yukarıdaki resimde 80 ve 443 portlarının açık olduğu; 21, 22, 23, 25, 110, 143, 161, 1900 ve 8080 portlarının bir paket filtreleme mekanizması tarafından engellendiği görülmektedir.
Ayrıca Shodan ile IP kameralar, SCADA sistemleri/PLC’ler gibi cihazlar, hem kullandıkları özel portlar ile hem de marka/model bilgileri ile aratılabilmektedir.