Traditionnellement, Censys se concentre sur les analyses "approfondies", c'est-à-dire les analyses qui effectuent une analyse complète du service sous-jacent et qui répartissent les valeurs clés dans des champs pouvant faire l'objet de recherches ultérieures. Certains protocoles ont été capturés par des bannières de services "UNKNOWN" et n'ont pas été marqués, ce qui permet de les rechercher, mais difficilement. Par exemple, les serveurs IRC peuvent être trouvés sur Censys Search en recherchant "irc" sur le port 6667. Cela permet de réduire le nombre de services, mais passe à côté de nombreux serveurs IRC qui ne présentent pas "irc" dans leur bannière ou qui ne fonctionnent pas sur le port 6667. Cela donne également quelques faux positifs, certains résultats étant simplement des serveurs HTTP sur le port 6667 qui contiennent l'expression "irc".
De nombreux autres protocoles n'ont pas été pris en compte ; ils ne sont pas suffisamment bavards pour fournir des données de bannière sans une sonde spécifique pour les obtenir. Par exemple, le protocole Printer Job Language (PJL dans Censys Search) est intéressant à voir, mais il ne répond qu'à quelques sondes spécifiques, que Censys n'utilisait pas auparavant pour son port par défaut de 9100. Pour nous, cela inclut tous les protocoles UDP, puisque nous ne collectons aucune sorte de données de bannière sur les ports UDP. En outre, dans certains cas de protocoles basés sur TCP, Censys n'a pas encore analysé le port sur lequel ces services fonctionnent généralement.
Censys a entrepris d'accroître sa couverture protocolaire en juin et a commencé à étiqueter les données des bannières qui pouvaient être attribuées à un protocole particulier. Nous avons découvert des services qui n'étaient pas présents dans nos données. La plupart des protocoles que nous avons cherché à ajouter étaient très simples à détecter par rapport à la nuance associée à l'analyse d'un protocole comme le DNS. Le principal obstacle à leur ajout a été l'infrastructure requise pour ajouter la prise en charge d'un nouveau protocole, qui a été conçue en partant de l'hypothèse que les analyses seraient des opérations complexes, consistant en de nombreux paquets envoyés dans les deux sens pour extraire les différents champs de données que Censys souhaite exposer. Dans notre nouveau cas, nous voulions envoyer une sonde très basique et effectuer une comparaison avec la réponse.
Pour répondre à ce nouveau scénario, Censys a mis en œuvre un cadre d'analyse de protocole "léger" au-dessus de notre moteur d'analyse existant. Ce cadre nous a permis d'ajouter rapidement et facilement la prise en charge de nouveaux protocoles sans écrire de code. Nous pouvions spécifier le port et la méthode de balayage dans un fichier de configuration, l'ajouter à la liste des sondes existantes et être en mesure d'ajouter la prise en charge complète d'un nouveau protocole en une heure, ce qui réduisait le temps de développement (souvent) de plusieurs jours nécessaire à l'ajout de ces protocoles dans le cadre existant.
Grâce à ce nouveau cadre, Censys a pu faire passer le nombre de protocoles pris en charge par notre scanner de 40 à 78 en seulement deux jours de hackathon. La majeure partie du travail effectué pour ajouter ces protocoles n'a pas consisté à écrire du code ou à câbler des choses, mais à décider quels protocoles seraient les plus utiles à ajouter à la plateforme et à en prendre l'empreinte. Nous avons repris cet effort pour porter le nombre de protocoles de 78 à 100.
Priorités
Nous avons réduit le nombre de protocoles que nous allions ajouter à partir d'une longue liste de protocoles possibles. Nous avons donné la priorité à l'ajout de protocoles entrant dans l'une de ces catégories :
Protocoles indiquant un problème évident. Par exemple, Kerberos, ARD, ATG, Andromouse.
Protocoles de base de données (Cassandra, Zookeeper, Bolt)
Protocoles de contrôle industriel (GE_SRTP, PCWORX, FINS...)
Des protocoles qui étaient tout simplement... cool ! (et qui ne nécessitaient pas beaucoup d'efforts pour disséquer le protocole). Par exemple, Terraria, QOTD, Teamspeak.
Des avantages rafraîchissants
Nous exposons les données relatives à ces nouveaux protocoles de la même manière que nous le ferions pour une bannière "inconnue" - la seule différence se situe au niveau du champ service_name. Ceci peut être vu en regardant la vue de la table pour un hôte dans la recherche. Notez que les champs de données sont appelés banner_grab bien qu'il s'agisse d'un serveur Murmur.
Auparavant, nous n'exposions pas les données relatives aux services de cette manière. Chaque service ajouté avait un nouveau champ et format dédié (par exemple, services.openvpn), qui était alors permanent. Il était donc difficile d'ajouter une sonde "temporaire". Nous nous serions engagés à supporter un champ pour toujours. Comme nous disposons d'un champ dédié (banner_grab) pour toutes les sondes "légères", nous sommes désormais en mesure d'ajouter une sonde temporaire que nous pouvons supprimer plus tard si elle n'apporte plus de valeur. En outre, cela a permis de modifier les données, car il n'est plus nécessaire de changer les noms des chemins de recherche, mais seulement de modifier la valeur du nom du service. Nous avons déjà dû faire cela lors de notre premier sprint d'ajout de protocole. Nous avons ajouté une sonde pour "RDP_UDP" et avons décidé qu'il serait préférable d'appeler cette sonde RDP. Nous avons renommé le service dans notre fichier de configuration, et les noms problématiques ont été filtrés et remplacés par le nom le plus sensé.
Nouveaux protocoles
Vous trouverez ci-dessous un tableau de tous les services que Censys scanne actuellement, et le nombre de chacun d'entre eux que nous avions sur Internet en date du 2021-08-16. Ces chiffres peuvent varier considérablement, mais en général, ils restent à peu près les mêmes par ordre de popularité. En vert figurent les protocoles que nous avons ajoutés au cours des huit dernières semaines en utilisant le nouveau cadre de recherche. Ce rapport a été généré à l'aide de la fonction de rapport de Search 2.0. Nous avons ajouté manuellement Andromouse ici, car nous ne voyons pas de services actifs pour ce protocole pour le moment.
nom_du_service
compter
HTTP
751232939
INCONNU*
57736598
SSH
25103704
SMTP
17031251
FTP
10060171
NTP
8178526
IMAP
7854411
POP3
7290299
DNS
6203423
RDP
5926254
MYSQL
4801300
CWMP
4681776
TELNET
4188493
PPTP
3458950
RTSP 2999565
SNMP
1683421
OPENVPN
1549015
PORTMAP 1539872
NETBIOS 1504529
PME
1300404
VNC
1053140
POSTGRES
713984
MSSQL
425856
MQTT
411738
IPP
311755
PIGEONHOLE 280083
REDIS
278636
SIP
266511
MDNS 234625
RSYNC 200553
AMQP
178414
XMPP 176961
TFTP 163148
MONGODB
147907
NATPMP
140234
COAP
130349
WS_DISCOVERY 126274
SSDP 103325
KUBERNETES
99080
RIPV1 85936
ORACLE
84369
MEMCACHED
79251
POPPASSD
75301
UBIQUITI 74833
KERBEROS 51294
TEAMSPEAK 46165
X11
44451
PROMETHEUS
44005
IPMI
39224
SCCM 37095
MODBUS
36720
RECHERCHE D'ÉLASTIQUES
34844
IKETTLE 32530
FOX
26336
IRC 24184
VALVE 24061
ARD 20990
CHARGEN 17470
MURMUR 16860
IDENT 16490
GARDIEN DE ZOOS 15992
BACNET
14391
QOTD 13138
KAFKA 12155
SKINNY
10486
NETIS 9070
ICAP 7984
WDBRPC 7884
PJL 7732
PC_ANYWHERE
7297
S7
7027
PIE 6317
TEAM_VIEWER
5778
BITCOIN 5627
XDMCP 4905
BOLT 4811
DIGI 4481
IEC60870_5_104 3508
BEANSTALKD 3338
SENTINEL 3315
CITRIX 2987
RADIUS 2880
BITTORRENT_TRACKER 2831
CASSANDRA 2785
TERRARIA 2528
DB2 2414
CODESYS 2201
LDAP 2090
FINS 1726
STATSD 1502
ATG 1126
DNP3
705
RETHINKDB 662
PCWORX 207
PRO_CON_OS 101
GE_SRTP 75
DICT 27
TORCONTROL 14
BITTORRENT 2
HART 1
ANDROMOUSE 0
*UNKNOWN est inclus à des fins de comparaison avec la question suivante
