扫你的IP里，谁是测绘引擎？

了解测绘引擎的行为，首先要知道流量中哪些是测绘引擎的IP。然而，除了一个源自学术工作的测绘引擎之外，其他引擎均不公布他们的IP段。

研究团队调研发现，一些服务会因为报错提示或打log等原因在响应中显示访问者IP。研究团队将此类服务称为IP Mirror Service，当此类服务被测绘引擎收录，平台上展示的内容将反射出测绘引擎的IP。

通过爬取他们近一年的记录，我们成功收集了4家测绘引擎（国外的平台1、平台2，国内的平台3、平台4）的1407个测绘IP，并通过蜜罐捕获他们的扫描行为。

测绘引擎干了什么？

测绘引擎的一个重要功能是帮助安全研究人员评估漏洞面，如果我们将测绘引擎比作小区里巡逻的保安，我们希望他们干什么？

正确做法：看下谁家门开着，悄悄通知业主。

如果非要写个公告板的做法：在公告板上写哪一户门没关，希望有人通知业主。

但实际呢？

上图展示了我们在四个测绘引擎中的分析结果。测绘引擎应该在最小化原则的前提下去探测互联网上的服务，拿到能够确认服务类型的信息后就结束探测。绿色笑脸表示测绘引擎使用了符合最小化原则的探针，而红色表情表示测绘引擎过度获取了服务信息。

通过对12种容易发生未授权访问漏洞的服务的记录的分析，研究团队惊讶地发现测绘引擎在记录这些服务的默认响应之外，还会尝试过度获取服务信息，甚至会利用漏洞来访问服务。

也就是说，这个保安不仅会拧一拧关着的门试试能不能拧开，要是拧开了还会进去逛一圈，说这家人有10万块现金放在桌上，真是不安全。有时也会踹一脚试试能不能踹开，踹开了说这门太脆弱了。

以下是我们发现测绘引擎尝试获取的信息：

ZooKeeper的系统信息

ElasticSearch的数据表

MongoDB的数据库

FTP的文件列表

OpenWrt路由器的配置

家用摄像头的照片

......

研究团队的蜜罐还捕获到来自平台2的25条与摄像头相关的敏感路径的访问尝试，包含摄像头的配置信息和实时界面。值得注意的是，部分被平台2捕获图像的主机并未在根目录中提供实时图像，证实了平台2确实在尝试通过探索其他路径从而深度获取摄像头的信息。

研究团队也尝试就相关行为咨询测绘引擎公司。取得联系的两家公司一开始声称他们从未携带特定path访问任何服务，但当我们针对捕捉到的命令提出具体的问题时，他们拒绝回答。

测绘引擎的军备竞赛

测绘引擎获取信息的终极目的是为了在设备测绘的军备竞赛中提升自己的竞争力，通过给用户提供更多详细的信息，吸引用户购买会员服务而盈利。

因此，他们过度获取的信息都会用各种专门定制的“贴心”形式展示出来，并且通常不会做任何的信息隐藏或模糊，导致服务信息被严重泄漏。

敏感信息的泄露情况，绿色表示没有任何敏感信息泄露，黄色表示软件版本信息被泄露，红色表示敏感信息被泄露

我们发现至少有145310个Elasticsearch服务、178879个MongoDB服务和2306个CouchDB服务正在被平台2和平台3展示它们的数据库配置信息、索引等敏感内容。

同时，平台2列出了68543台Redis主机的Key列表。

平台3列出ElasticSearch中数据表

LDAP服务的联络信息被披露

（手机号、邮箱、公司、地址等）

更离谱的是，平台2提供了一个图片的聚合展示网站，截止2024年7月，展示了791,333远程桌面截图（其中很大一部分有个性化的头像和用户名）和65,042个摄像头截图。该功能需要订阅平台2会员才可使用，从某种意义上说，测绘引擎通过挖别人隐私为自己牟利。

平台2的Images网站

在帮助安全人员研判风险的同时，对个人信息的过度获取和披露也帮助了攻击者高效筛选受害者。

不会用测绘引擎的攻击者：满世界慢慢扩散逐个测试寻找有漏洞的主机（逐个门把手拧过去）

会用测绘引擎的攻击者：API一键获取世界上所有开放某个端口、运行某个版本、拥有某个漏洞的服务的主机（看保安写的门没锁的公告板，公告上还写了每家有什么财产）

甚至，信息的过度聚合也助长了偷窥产业的发展。平台2的探索（Explore）模块记录了平台2用户们分享的设备查询语句，其他社区用户可以对这些查询语句进行投票。在前10名中，有7条查询与寻找实时网络摄像头相关，其中第7名的查询语句标题甚至名为“live sex cam”，表明了使用者的偏好。

平台2的Explore模块，票数最高的三个都用于查询摄像头（“cam”即“camera”的缩写）

如何避免被扫？

那么问题来了，不希望自家设备被收录的网民们该怎么办呢？

研究团队参考了各国法律、网络爬虫、和其他测绘引擎提出的最佳实践，评估了四家测绘引擎在身份透明度上的情况。同时，研究团队还分析了测绘引擎IP的使用情况和扫描策略，发现开放在公网上的主机很难避免被测绘。

身份透明度分析，绿色表示符合要求，黄色表示部分符合要求，红色表示不符合要求

结语

在安全人员为保护网民安全的技术的不断发展中，切勿为了发现更多的漏洞面而展示更多的漏洞面，一味地追求信息披露的全面，更不应该将网民的信息泄露作为自己盈利的方法。

我们呼吁测绘引擎厂商加强对其扫描和披露行为的伦理道德审查，减少对网民的危害。测绘引擎应进一步提高对网民的透明度，让被扫描者了解其无害的目的和身份；在扫描时注意使用最小化的探针，不要未经授权过度探测任何主机，不要对主机造成伤害；在展示信息时应尽可能防止任何的敏感信息泄露，做好脱敏工作。

最后，用户的漏洞应该仅有用户知道，我们建议测绘引擎向用户报告他们扫描到的漏洞，而不是披露在搜索结果中任攻击者随意获取。

研究团队介绍

邬梦莹，系统软件与安全实验室21级直博生，本科毕业于上海科技大学计算机科学与技术专业。主要研究方向为网络黑产和互联网测量，目前已在ACM CCS、NDSS、IEEE/ACM ICSE等网络安全及软件工程国际顶级会议上发表高水平学术论文。相关研究成果在政府部门和工业界落地实战，取得良好效果。个人主页：https://funeoka-yumee.github.io/

洪赓，助理研究员、硕导。研究聚焦于互联网地下产业检测、网络犯罪治理、人工智能安全治理等，目前已在IEEE S&P、ACM CCS、NDSS等国际顶级会议上发表十余篇高水平学术论文，担任ACM CCS 24、CCS 25程序委员会委员，并主持国家自然科学基金青年项目等重要研究课题。相关成果在执法机关、工业界均有成功应用，曾获ACM SIGSAC China优博奖（全国共3位）、ACM CCS 2018亮点论文等荣誉。个人主页：https://ghong.site/

陈晋松，系统软件与安全实验室23级学硕，复旦本硕连读。主要研究方向为网络黑产和互联网测量。

刘淇，复旦大学21级信息安全专业本科生，已推荐免试至系统软件与安全实验室攻读博士学位。主要研究方向为网络黑产和互联网测量。