reorder
person Login

راهنمای مختصر استفاده از سامانه نت‌سین (NetSeen)

سامانه نت‌سین (NetSeen) به عنوان یک موتور جستجوی اینترنت اشیاء وظیفه کشف و آنالیز سرویس‌ها و تجهیزات موجود در شبکه را بر عهده دارد. این موتور کلیه سخت‌افزارها و نرم‌افزارهای سرویس دهنده در شبکه را (با پشتیبانی انواع پورت و پروتکل‌های شناخته شده TCP ‌و UDP) اصطلاحا خزش نموده و اطلاعات آنها را برای انجام جستجو و تحلیل بعدی ذخیره‌سازی می‌کند. کلیه فرآیندهای مربوط به خزش، ذخیره‌سازی و تحلیل در سرورهای نت‌سین صورت می‌گیرد. دو نوع سرویس مجزا در این سامانه ارائه می‌شود که هر دو نیز به صورت همزمان قابل استفاده می‌باشند:

  • موتور عمومی (batch engine) که تجهیزات موجود در یک شبکه بسیار بزرگ را خزش می‌کند. در حال حاضر، خزشگر موتور عمومی به صورت پیش‌فرض بر تجهیزات موجود در شبکه ایران تمرکز نموده است ولی از امکان خزش کل اینترنت نیز برخوردار است.
  • موتور سفارشی (custom engine) که تجهیزات موجود در یک شبکه کوچک را (در قالب شبکه سازمانی) خزش می‌کند. در این سرویس، خود کاربر آدرس شبکه‌های مورد خزش را مشخص می‌کند و به محض معرفی این آدرس‌ها، خزشگر موتور سفارشی به صورت لحظه‌ای و آنلاین، اطلاعات مربوط به تجهیزات موجود در شبکه‌های تعریف شده را کشف می‌نماید.

راهنمای موتور عمومی نت‌سین

برای دسترسی به موتور عمومی نت‌سین می‌توانید از آدرسhttps://netseen.io در مرورگر خود استفاده کنید. عمده فعالیت کاربر در موتور عمومی، جستجو و مشاهده اطلاعات مربوط به آدرس‌های خزش شده از اینترنت می‌باشد. با توجه به اینکه دسترسی به موتور نت‌سین فعلا به صورت عمومی امکانپذیر نمی‌باشد، برای استفاده از خدمات موتور باید نام کاربری و رمز عبور ارسالی را در پنجره‌ای که در ابتدای ورود به سایت نمایش داده می‌شود وارد نمایید. مشابه اکثر موتورهای جستجو، در صفحه نخست این سامانه قابلیت جستجوی پرس‌وجوی کاربران امکان‌پذیر می‌باشد. این پرس‌وجوها می‌توانند ساده یا به صورت ترکیبی از عملیات منطقی OR، AND و NOT بر روی فیلدهای مختلف باشند. تمامی فیلدهای قابل جستجو در جدول زیر فهرست شده‌اند:

نام فیلد توضیحات
os سیستم‌عامل دستگاه (Windows، Linux و ...)
type نوع دستگاه (مودم، پرینتر، دوربین و ...)
device برند دستگاه (Cisco، Mikrotik و ...)
tag بر چسب‌ها (database، iot و ...)
city شهر (موقعیت جغرافیایی دستگاه)
country کشور (موقعیت جغرافیایی دستگاه)
port شماره پورت
protocol نام پروتکل (http,ssh,…)
prototype نوع پورت (TCP/UDP)
service سرویس اجرا شده بر روی پورت
cve کد CVE کشف‌شده بر روی پورت
cve_type نوع CVE کشف‌شده بر روی پورت
cve_level سطح CVE کشف‌شده بر روی پورت (برای مثال: critical، high، medium و ...)
title عنوان کشف شده
banner بنر کشف شده
as مقدار as (پارامتر شبکه)
register دامین‌های رجیستر شده
screenshot اسکرین شات از صفحه لاگین
cms سامانه مدیریت محتوی
domain دامین کشف شده از بنر
domains دامین تخمین زده شده از بنر

نمونه‌هایی از پرس‌و جوها به صورت زیر می‌باشند:

  • protocol:telnet
  • port:3306 or protocol:http
  • os:windows and country:iran
  • manufacturer:cisco and not city:tehran
  • mysql tehran
  • cisco and cve:*
  • cve_level:critical
  • screenshot:*
  • mikrotik
  • domain:mci.ir

بعد از وارد کردن پرس‌وجو و مشاهده نتایج کشف شده، قابلیت فیلتر کردن نتایج با استفاده از فیلترهای موجود در سمت راست صفحه امکان‌پذیر است. با کلیک کردن بر روی هرکدام از نتایج، اطلاعات تکمیلی به کاربر ارائه می‌شود. همچنین تراکم جغرافیایی نتایج کشف شده بر روی نقشه در سمت راست صفحه، قابل مشاهده است. این نکته حائز اهمیت است که اطلاعات قابل جستجو در نت‌سین در حال حاضر، شامل اطلاعات اخیرا خزش شده از آدرس‌های داخل رنج شبکه متعلق به ایران می‌باشد (یعنی فعلا امکان جستجو بر روی داده‌های جهانی وجود ندارد). فهرست پورت‌ها و پروتکل‌هایی که فعلا در نت‌سین فعال می‌باشند در ادامه گزارش آورده شده است.

از منوی بالا در قسمت یا تب Map، می‌توان ۲۰۰ نتیجه ابتدائی را بر روی نقشه بر اساس موقعیت جغرافیایی ‌آن‌ها مشاهده کرد:

در تب Attack، حملات مرتبط با پرس‌وجوی کاربر ارائه می‌شود. این نتایج را می‌توان بر اساس فیلتر‌های سمت راست صفحه، محدود کرد. همچنین با کلیک کردن بر روی هر کدام از نتایج، اطلاعات تکمیلی از آن نتیجه قابل مشاهده است. در تب Tag، برچسب‌های مخرب امنیتی مربوط به آدرسهای آی‌پی (مثلا برچسب‌های رفتار سوء و یا اسپم) که توسط نهادها و دادگان مختلف گزارش شده است نمایش داده می‌شود. برای مثال، با جستجوی Iran، میتوان لیست آی‌پی‌هایی که دارای برچسب مخرب امنیتی هستند را مشاهده نمود. در تب Password هم کلیه سرویس‌ها و دستگاه‌هایی که بدون پسورد و یا با پسورد ضعیف متصل به شبکه هستند نمایش داده می‌شوند. برای مثال، می‌توانید لیستی از پایگاه‌داده‌هایی که بدون پسورد مشغول فعالیت هستند را در اینجا مشاهده نمود (این قسمت صرفا راجع به آدرسهای ایران میباشد). نهایتا در تب Domain، اطلاعات مربوط به دامنه‌ها و گواهی‌های کشف شده از تجهیزات نمایش داده می‌شود که با کلیک بر روی هر نتیجه، اطلاعات تکمیلی در مورد آن دامنه و آدرس آی‌پی نمایش داده می‌شود.

پورت‌ها و پروتکل‌های مورد پوشش

در جداول زیر، فهرست پورت‌ها و پروتکل‌های مورد پوشش در نت‌سین آورده شده است. جدول ۱ در مورد پورت و پروتکل‌های مورد پوشش در خزشگر نت‌سین می‌باشد، یعنی تجهیزات موجود در اینترنت، در موتور عمومی و سفارشی، از نظر این پورت و پروتکل‌ها مورد اسکن قرار می‌گیرند. جدول ۲ نیز در مورد پورت و پروتکل‌هایی است که تجهیزات و یا سرویس‌های پشت آنها (پس از کشف توسط خزشگر)، مورد تست پسورد قرار می‌گیرند. لازمست به نکات زیر توجه شود:

  • با توجه به پیاده‌سازی انواع پروتکل‌های موجود در شبکه، محدودیتی برای پوشش پورت‌های بیشتر وجود ندارد. محدودیت اعمال شده کنونی، صرفا به خاطر کمبود منابع زیرساخت می‌باشد. به عبارت دیگر، ‌هرچقدر سرور و پهنای‌باند اضافه شود، امکان پوشش پورت و پروتکل‌های بیشتر وجود خواهد داشت.
  • در جداول زیر، محبوب‌ترین پورت‌ و پروتکل‌ها بر حسب میزان استفاده آنها در شبکه (طبق آمار منابع معتبر) اولویت‌گذاری شده‌اند. لیکن امکان تغییر این پورت‌ها و جابجایی اولویت‌های خزش وجود دارد.
  • امکان شناسائی برنامه‌ها و سرویس‌های فعال بر روی پورت‌های غیراستاندارد نیز وجود دارد. برای مثال، ممکن است برنامه mysql به جای پورت ۳۳۰۶ بر روی پورت ۸۰ که مخصوص وب‌سرور است راه اندازی شود. در اینصورت، نت‌سین قادر خواهد بود تا وجود برنامه mysql را به جای وب‌سرور بر روی این پورت تشخیص دهد. برای همین منظور، در ستون سوم جدول‌های زیر از عبارت پروتکل پیش‌فرض استفاده شده است، چون وجود پروتکل‌های دیگر نیز پشت هر پورت، امکان‌پذیر است. در بسیاری از موارد، روال خزشگر به صورت خودکار پروتکل پشت پورت را متوجه شده و آنرا تصحیح می‌کند.
  • تست پسورد صرفا بر روی تجهیزات داخل ایران و با توجه به پسوردهای پیش‌فرض (تعریف شده به صورت مجزا برای هر سرویس نرم‌افزاری یا برند سخت‌افزاری) می‌باشد. همچنین لیستی از رایج‌ترین پسوردهای به کار گرفته شده نیز به عنوان پسورد ضعیف بر روی دستگاه‌ها تست می‌شود تا نفوذپذیری دستگاه (از نظر فرآیند لاگین) مورد ارزیابی قرار گیرد.