Shodan引用的公用計算機的工作方式如下：

只是不要這樣做。

編輯：類推很重要！ Shodan連接到機器並詢問其“ banner”，這是一個公開可用的文本，其中可能會簡單地說：“輸入，請使用此默認密碼：1234”。您可能希望通過在門前安裝一個巨型烏賊作為防護裝置（即防火牆）的簡單方便方法來避免人們敲門，但是，實際上，配置非默認密碼會更安全。 / p>

Shodan項目非常酷，但是其核心並不僅僅是一個大型honkin nmap數據庫。該項目的掃描儀會定期掃描Internet，並將發現的結果發佈到數據庫中。該數據庫就是您要搜索的數據庫。由於他們使用的是標準檢測程序，因此您在常規掃描中所採用的保護措施應該可以在這里為您提供保護。

1. 適當地配置防火牆。 -這意味著對於您提供的任何服務，請盡可能限制它們。如果您只有5個市場營銷人員使用您的Web應用程序，那麼整個世界都無需使用它。找出市場營銷使用的地址空間，並僅向他們開放。 （您可能還希望允許使用遠程訪問解決方案，但這取決於您）。
2. 清理橫幅。 -默認情況下，許多橫幅會提供大量信息。例如，默認情況下，Apache httpd會告訴您它的版本，運行的操作系統，啟用的模塊等。這實際上是不必要的。 Apache httpd的配置設置提供的信息較少，但是具體信息取決於您託管的服務。
3. 讓防火牆默默阻止。默認情況下，許多防火牆在丟棄數據包時都會發出“ ICMP目標在管理上被禁止”的信息。這將使掃描程序知道該端口上存在某些東西，只是不允許它碰到它。通過打開隱形，靜音或任何模式，連接將在掃描儀的一端超時。對於他們來說，這似乎甚至不存在主機。
ol>

對於大多數家庭用戶來說，唯一面向互聯網的設備是他們的路由器。

那麼，如何保護路由器免受Shodan之類的損害？

• 首先， 更改默認密碼。配備了IP掃描工具的任何人（我嘗試過的IP掃描器都是惱人的）都可以找到您，只要他們輸入了相關的IP範圍並以標準的 admin / admin 登錄名登錄即可。如果他們具有此訪問權限，他們怎麼辦？
  • 他們可以獲得寬帶連接的密碼（在某些情況下開始竊取您的帶寬）
  • 他們可以設置端口轉發並獲取
  • 他們可以更改您的DNS服務器，並將您的瀏覽重定向到其惡意網站克隆。除非站點使用SSL，否則您將無法知道這種情況的發生。請注意，網站上的SSL可能還不夠-大多數人不會注意到他們是否收到了自己喜歡的https網站的http版本。
  • 他們可能會弄亂您的路由器
• 要做的另一件事是禁用遠程管理（ Linksys路由器的示例）。這會將路由器的配置頁面隱藏在外面，因此即使嘗試蠻力攻擊，人們也無法進入。 （此外，除非具有端口轉發功能，否則您不會顯示在IP掃描中）。請注意，在某些情況下，您可能希望啟用此選項-在測試內容時，我將其保留了很短的時間。但通常，將其保留是沒有害處的。
• 檢查端口轉發規則。即使修復了以上兩個問題，轉發的端口也將轉換為與計算機的直接連接。在大多數情況下，您不應有任何轉發的端口。如果您是遊戲玩家，則可能有一些特定於遊戲的端口。 （通常選擇端口以免干擾某些其他服務）確保沒有任何內容轉發到端口21、22、3389。如果是這樣，請確保您的ssh / ftp /遠程桌面密碼是安全的（或禁用了ssh / ftp / rdp）。可能還有其他一些端口可以輕鬆接管計算機，但我想不出任何OTOH。

在計算機上，檢查防火牆。使它盡可能嚴格，不要破壞事物。

請注意，要專門針對家用系統停止Shodan，只需要第1點或第2點即可。但是，我列出了其餘的內容，因為Shodan可以輕鬆地進行自我改進以進一步分析路由器連接。

因此，簡短的答案是，如果您要提供公開可用的服務（例如，通用互聯網），則您的服務必須是可訪問的，因此像shodan這樣的搜索引擎可以找到它，而所有shodan都可以通過它來索引公開可用的索引信息。

您可以做的是，通過從可訪問的服務中刪除標語，並確保刪除了默認憑據（標準的安全性良好做法），來最大限度地減少shodan找到的信息。

如果您正在運行的服務不需要整個Internet都可以訪問（即，僅某些人需要能夠訪問它），使用防火牆來限制哪些源IP地址可以訪問該服務也是一種有效的保護措施，可防止通過

另一種理論上的保護（我會說這是一種不好的方法，但是為了完整性起見，我會提到）是，如果您可以找到shodan使用的IP地址範圍，則可以嘗試專門阻止它。

使shodan顯得“嚇人”的風險是，互聯網上已經有大量系統採用默認設置，並且很少考慮安全性。不幸的是，在這種狀態下將系統放置在Internet上的人們不太可能具有足夠的安全意識，因此無法採取諸如專門阻止shodan之類的操作...

要提到的另一件事是，即使阻止shodan之類的東西也不會幫助您應對去年發生的 Internet人口普查項目。這使用了大量的受感染系統來掃描整個Internet。該項目的輸出以torrent形式提供，我敢打賭，許多研究人員和攻擊者目前正在通過數據查找要攻擊的東西（他們很可能會發現）

可以找到並允許訪問不安全的互聯網連接設備的搜索引擎。

Shodan真正的問題是，為什麼這些設備首先要面向互聯網。這樣做並不需要更改默認配置信息，但是讓您的打印機在世界範圍內訪問只是愚蠢的事情。

您可以使用一種安全措施來對付這種情況的問題-遠程工作者的VPN和防火牆。它是公司資產，因此要求用戶實際使用暗示的所有限制連接到公司網絡。不這樣做意味著您不知道誰在登錄網絡上的設備。將設備放在防火牆後面，並讓用戶登錄。

然後，進入失敗的第二個-這是顯而易見的-更改這些默認值。大多數組織對資產都有某種管理策略，其中應該包括管理對它們的登錄憑據，尤其是當它們將要在網絡上時。應該對設備進行安全配置。

如果由於製造商引入的某些錯誤而無法對設備進行安全配置，那麼引擎會通過暴露它來幫我們忙-這將給您帶來壓力

最後，您可以（並且我認為應該）從服務器隱藏信息，例如Apache版本字符串。這不會成為藉口或替換適當的安全配置和勤奮地更新軟件，但是也沒有理由告訴攻擊者有關您系統的所有信息。

如果您要在公共IP上公開自己的某些服務，但又想將它們隱藏在世界其他地方，則可以使用端口關閉將設備隱藏在通用端口之外掃描，同時仍使它們無需VPN即可與知道如何敲門的人進行訪問。我有幾個家庭網絡攝像頭，有時我希望能夠從工作場所訪問，但是工作中的防火牆不會讓我向我的家庭防火牆發起VPN。

因此，我“敲”了3個端口

端口震盪對於那些決心闖入您的網絡的人來說是很弱的安全措施，因為震盪很容易被發現（敲擊實際上是以純文本形式發送的密碼），但是即使攻擊者知道正在使用端口敲擊，強行強制端口也幾乎是不可能的-3個隨機端口提供了大約48位的密碼熵，因此從隨機黑客。 VPN會加密所有內容，因此會更加安全。

此外，由於它在IP級別工作，因此一旦我從工作IP地址解鎖端口，工作的每個人都可以訪問它們，因為它們都共享相同的IP地址。 （它們通常是在DMZ中用於檢查狗的室外攝像頭，因此我不太擔心工作中的人看到它們，但我真的不希望全世界看到它們）

這裡有很多有關端口敲門的優缺點的信息：

• 端口敲門-這是一個好主意嗎？ [Stackexchange]

一個評論者指出，熵的48位並不多，對於密碼之類的東西來說確實如此，如果攻擊者可以獲取哈希值，則可以執行離線攻擊並每秒測試數百萬或數万億個組合。但是，由於任何敲響蠻力攻擊的端口都受到網絡延遲和帶寬限制的限制，因此48位仍然是很大的熵。要成功強行破解密碼，平均而言，您需要進行N / 2次猜測，在這種情況下，N = 2 ^ 48，因此N / 2 = 2 ^ 47

每次猜測意味著發送3個syn數據包敲打3個端口，因此假設SYN數據包為60字節，則需要發送2 ^ 47 * 3 * 60 = 2.5 x 10 ^ 16字節或22 PB。

使用我的15兆位家庭互聯網連接，發送這麼多數據將花費510年的時間。

如果您可以發送敲門並立即測試敲門，則可以忽略網絡延遲。延遲為1毫秒（從我的家庭網絡到ISP網絡的第一跳的典型真實世界ping延遲為13毫秒），則需要2 ^ 47毫秒或4,000年的時間來蠻力。

當然，所有這些都假定您可以在端口敲門守護程序忽略您之前或在我發現某些東西正在消耗我的所有入站帶寬之前（我的ISP一定會注意到並會扼殺我）進行無限猜測

並且它也忽略瞭如果您不知道要檢查哪個端口，就知道您是否成功敲門會自己增加熵-我的相機偵聽一些非顯而易見的端口，從而增加了16位左右的熵

因此，正如我所說的那樣，由於容易被嗅探，而導致端口爆震卻是弱安全性。

只需確保您的設備是安全的，並且無需在不需要時就宣傳它們的存在。您可以使用Gibson Research的 ShieldsUp之類的服務輕鬆檢查網絡連接上是否有端口正在響應來自公共Internet的服務。

如果有顯示的內容不能不必禁用服務並阻止路由器上的端口。如果確實需要該服務，請確保已正確保護它，以使其不容易被濫用。關於需要響應請求的面向公眾的服務將可以通過端口掃描發現的事實，它沒有什麼可做的。嘗試避免這種情況類似於設法避免某人僅在街上開車看標牌時就知道商店在哪裡。

您可以嘗試取下標牌（移除橫幅） ，更改默認端口等），嘗試使某人更難辨認商店的功能（服務是什麼），但是您無法真正掩蓋倉庫中存在建築物的事實（端口上的服務） ）。

針對shodan掃描提供的最佳防禦措施與任何其他掃描一樣。

• 正確配置軟件，HIPS和防火牆
• 將服務器構建為在容器內運行（例如bsd jails / linux容器/ windows sandboxie）。
• 確保服務器上沒有運行易受攻擊的軟件版本
• 費率限制濫用連接（即，非人類發起的連接會在一個小窗口內出現尖峰）
• 消除您的軟件提供的任何服務器標語
• 最後，將所有濫用IP地址設置為空。即shodan和RBL上列出的其他產品中的那些。

顯而易見的答案是第一個，最新的安全套件和運行最新安全補丁的配置良好的軟件。雖然這是當今的普遍規範，但與將您的系統用火把扔給狼一樣，這沒有什麼不同。所有安全性（真實世界和虛擬世界中的整個歷史記錄）都建立在層上。

如果您將系統構建為在類似環境的沙箱中運行，那麼如果出現任何問題，則可以先回滾到工作版本對該問題進行分析，並分析那裡出了什麼問題。這還具有作為敏捷服務器的額外好處，在該服務器中，如果由於某種原因（無論是否出於惡意）引入了錯誤，那麼您可以在短時間內將其推回工作版本，而無需停機。

僅通過限制速率並消除標語和任何其他識別特徵，就很難枚舉服務器或收集intel的第一步。

最後，RBL的無效路由和使用有助於消除眾所周知的問題濫用IP地址（例如已知的惡意軟件/殭屍網絡節點），濫用/惡意用戶以及hack-as-a-Service網站（如shodan）。

如果遵守這些規則，那麼互聯網就不是一個恐怖的地方因為您已經擊敗了“野蠻人”，而他們甚至還沒有在您的服務器上設置站點。