ZoomEye

ZoomEye(钟馗之眼)是中国知名网络安全公司知道创宇推出的一款网络空间测绘引擎。它通过持续不断地扫描整个互联网,来探测、识别和索引网络设备、服务器、Web服务等各种网络资产。

核心功能与特点

1.资产发现与识别
设备识别:能够识别路由器、摄像头、打印机、工业控制系统等各类联网设备。
服务探测:精准识别开放的端口及其运行的服务,如SSH, FTP, HTTP, Redis等。
组件指纹识别:通过Banner信息、网页特征等,识别操作系统、Web服务器(Apache/Nginx/IIS)、中间件、CMS(如WordPress, Joomla)及其版本号。
2.强大的搜索语法
ZoomEye的核心竞争力在于其丰富且灵活的搜索语法,让你能精确锁定目标。
基础组件/服务搜索:
app:"Apache Tomcat" - 搜索运行Apache Tomcat的服务。
app:"Microsoft IIS httpd" - 搜索运行微软IIS的服务。
port:3389 - 搜索开放了3389端口(远程桌面)的设备。
service:"ssh" - 搜索SSH服务。
地理位置搜索:
country:"CN" - 搜索位于中国的资产。
city:"Beijing" - 搜索位于北京的资产。
操作系统搜索:
os:"Windows" - 搜索运行Windows系统的设备。
os:"Linux" - 搜索运行Linux系统的设备。
主机与域名搜索:
host:"123.123.123.123" - 搜索指定IP地址。
site:"example.com" - 搜索与指定域名相关的所有资产(用于子域名收集,范围更广)。
hostname:"*.exmple.com" - 搜索所有以.example.com结尾的主机名(也用于子域名收集)。
cidr:"192.168.1.1/24" - 搜索指定IP段的资产。
组合搜索:
+ 或 AND同时满足多个条件:
app:"Nginx" + country:"US" + port:443 - 搜索位于美国、运行Nginx并开放443端口的服务。
- 或 NOT排除某个条件:
port:80 - country:"CN" - 搜索不位于中国并开发80端口的服务
通配符:?匹配单个字符(如apache?),*匹配多个字符(如apache*),适合模糊搜索。
精确匹配:用双引号包裹关键词,如”Apache HTTP Server”,仅匹配完全一致的结果。

3.特殊功能
蜜罐识别:ZoomEye集成了蜜罐识别能力,可以在搜索结果中提示某个服务可能是蜜罐,帮助研究人员规避风险。
统计数据与可视化:提供全球或特定目标的设备、服务分布统计图,便于进行宏观趋势分析。
API接口:提供API,允许用户将ZoomEye的数据集成到自己的自动化工具或平台中。

示例

搜索’.qq.com’相关的子域名,

ZoomEye 类似的搜索引擎

FOFA:这是国内厂商推出的一款强大的网络空间测绘引擎,积累了非常庞大的全球互联网资产数据。它的一个突出优点是对中文环境和国内网络资产支持良好,并且提供了丰富的搜索语法,例如可以通过domain="example.com"这样的指令来搜索特定域名的资产。无论是进行漏洞影响范围分析、应用分布统计,还是日常的资产发现,FOFA 对国内安全从业者来说都非常实用。

Shodan:Shodan被誉为 “物联网搜索引擎”,主要专注于扫描和索引各类联网设备,例如服务器、路由器、网络摄像头等。通过Shodan,你可以获取到设备的开放端口、运行的服务、组件版本甚至部分横幅信息。它的搜索语法也非常强大,例如port:22 country:"CN"可以搜索中国区域内开放SSH服务的主机。虽然其在全球物联网设备探测领域应用广泛,但对国内部分网络资产的覆盖可能稍弱于本土引擎。

Censys:这款引擎非常注重网络安全情报的收集,同样能够扫描互联网上的服务器、网络设备等资产。Censys的一个显著特点是在SSL证书分析方面非常擅长。它能够详细识别设备关联的SSL证书信息、开放端口以及运行的应用程序及版本信息,常被安全研究人员用于分析网络漏洞分布、评估系统安全配置合规性等场景。

360 Quake:这是360公司推出的网络空间测绘系统,同样具备全网资产探测和漏洞感知能力,并依托360的安全大数据,可以快速关联漏洞风险。

BinaryEdge:它是一个提供全球资产扫描结果、漏洞和端口信息的平台,可以作为Shodan的一个有力补充。

GreyNoise:这个平台比较独特,它可以帮助你判断一个IP地址的扫描活动是来自普遍的”背景噪音”(例如其他扫描器、研究人员),还是真正具有针对性的潜在恶意行为,在威胁情报分析中非常有用。