基于互联网资产自动探测采集工具的

基于互联网资产自动探测采集工具的

研究

陈红波

( 010020 国网内蒙古东部电力有限公司数字化事业部 内蒙古 呼和浩特)

【摘要】当前第三方平台私搭乱建的互联网未备案系统，一是仿冒了蒙东公司的图标、名称或者数据，二是根据公司业务需求委托开发的互联网自建系统，已成为攻击者的主要目标。本文分析了基于关键字匹配手段的互联网资产自动探测采集工具的研究与开发。

【关键词】网络安全；互联网资产；未备案

随着网络安全的不断发展，第三方平台私自搭建的未备案系统已成为攻击者主要攻击方向，以获取企业数据和个人信息，而蒙东公司在国网公司通报的首发漏洞中，未备案系统占据多数。为解决现用人工方式排查互联网未备案系统的效率低问题，需要研究开发一套互联网资产自动化探测采集工具辅助红蓝队员开展相关工作。

一、研究思路

本文基于关键字匹配手段，自动化收集公司互联网相关资产，并读取系统相关信息判断是否属于公司资产，最大化减少人力成本，切实提高互联网资产排查效率，降低公司资产在互联网暴露面，保障公司网络安全。

二、功能实现

（一）查询模块

查询模块主要功能是借助Fafa搜索引擎，采用关键字搜索出公司相关的疑似互联网未备案资产条目。实现过程如下：

打开工具界面，直接读取配置文件中的用户名和API key进行校验，校验成功后，在输入框内输入需要查询的页数（每1页固定10条数据，即查询3页，最多返回30条数据），输入查询语句（此查询语句与Fafa的查询语句相同，关键词可以是域名、系统名称、公司名称、公司简称等），点击查询即可。

除直接查询以外，也可以将详细的查询结果保存，选择储存模式中的“保存”，即可将查询结果保留在当前目录下（该功能需要在查询之前开启，开启之后再点击“查询”，即可将查询到的结果保存下来），生成的结果将会直接以查询时的时间为文件名，保存至工具所在当前目录下，见图1。

图1 查询功能实现图

（二）配置模块

配置模块的主要功能一是配置Fafa搜索引擎接口信息，确保工具成功接入Fafa搜索引擎，二是具备IP地址过滤功能，将以往梳理发现的非未备案IP地址过滤掉，避免重复查询。实现过程如下：

在Fafa配置处，填写查询时所用的账户名（一般是注册邮箱）及API key，然后点击“测试配置”功能按钮，检测当前账户是否可用。测试完成后，点击“保存配置”可将当前用户名及API key写入配置文件中，当每次启动工具时，可自动读取配置文件，无需重复输入，见图2。

图2 Fafa接口配置功能实现图

在IP名单配置处，可使用IP:Port的形式过滤以往查出的不符合数据。一是通过单个IP:Port的形式输入需要过滤的数据，二是通过直接修改配置文件来进行过滤，配置文件是在工具所在目录下的ip_block_list.txt文件，可直接打开该文件在其中进行添加IP数据。为了保证功能的正常使用，必须以IP:Port的形式进行添加（需要保证冒号“:”为英文格式，并且文件最后没有空行），添加完成之后，点击“重新加载IP列表”功能按钮，即可加载新的配置，见图3。

图3 IP名单配置功能实现图

（三）截图配置

截图模块主要功能是针对查询输出的疑似互联网未备案资产信息，自动逐一访问并进行网站截图，人工判断是否是互联网未备案系统。实现过程如下：

首先点击“选择文件加载”功能按钮，选择通过查询功能保存的结果文件，选择截图需要存在的文件夹路径（推荐选择一个空文件夹），点击“截图”会将截图存储到刚刚选择的路径下。同时，可根据当前的网络状态选择适合的超时时间，以保证截图的准确性和质量，一般设置为5s，见图4。

图4 截图功能实现图

三、结束语

本文实现了基于关键字匹配手段的互联网资产自动探测采集工具。此工具在公司红蓝队日常工作已经得到了广泛应用，自动化的互联网未备案资产收集工作进一步提升了工作效率，增强了公司供应链安全，推动公司网络安全工作更快的发展。

四、参考文献

[1]陈安哲. 基于网络空间测绘的动态网络资产探测扫描系统的设计与实现[D].华东师范大学,2022.DOI:10.27149/d.cnki.ghdsu.2022.002275.

[2]杨显哲. 基于网络资产指纹探测方法的安全预警研究[D].郑州轻工业大学,2022.DOI:10.27469/d.cnki.gzzqc.2022.000015.