ZoomEye功能介绍（中）

四、数据更新功能

我们通过搜索栏检索出一批资产数据时，可能会觉得部分数据的探测时间比较早，那么可以单击资产 Banner 结果右侧的“数据更新”按钮（见图 4-23）实时地对目标进行扫描。

图 4-23 数据更新

ZoomEye 支持用户对指定 IP 地址或者域名扫描。在扫描任务完成后，系统通过邮件给用户发送更新结果（见图 4-24），并且在 Web 界面显示目标资产数据更新提示。

图 4-24 数据更新邮件通知

五、威胁情报功能

ZoomEye 拥有全球最大的黑客威胁情报库和恶意机器流量威胁情报库。通过知道创宇的云防御体系获取独家威胁情报，结合 IP、域名的高精准信誉情报，我们可全方位掌握威胁情报，让恶意行为无处遁形。

在 ZoomEye 的资产数据详情页中，单击“威胁情报”，系统将展示网络空间资产关联的威胁情报信息（见图 4-25），以便判断当前网络空间资产是否存在异常的恶意行为。目前，系统可提供 IP 信誉情报、IP 高精准情报、域名信誉情报、域名高精准情报、目标攻击行为等多维度信息。

图 4-25 威胁情报

六、蜜罐识别功能

蜜罐是一种互联网上的诱饵，看起来像一个包含应用程序和数据的真实计算机系统。通过 ZoomEye 识别蜜罐网络空间资产，我们可以避免落入黑客布下的陷阱。ZoomEye 可以对无交互、低交互、高交互等工作方式的蜜罐进行识别，根据目标返回的报文、开放端口、开放服务等业务逻辑和异常行为对网络空间资产进行蜜罐判定。ZoomEye 会将蜜罐识别结果以标签的形式展示，如图 4-26 所示。我们也可以勾选右上角的“蜜罐筛选”来排除蜜罐网络空间资产。

图 4-26 蜜罐识别

用户也可以通过掌握的蜜罐特征来搜索蜜罐网络空间资产。比如某类工控蜜罐在部署时会使用相同的模板，导致不同的工控资产都具有相同的“ Serial Number”。如图 4-27 所示，使用搜索语句 "Serial Number: 88111222" 查找同类模板部署的工控蜜罐，结果数据有 2660 条。

图 4-27 通过蜜罐特征搜索蜜罐网络空间资产

蜜罐常常还会伪装成 OA 系统、邮件服务、VPN 服务等，植入一些 JavaScript 等语言代码来获取访问者的身份信息。用户可以根据自己掌握的蜜罐指纹在 ZoomEye中进行全文检索，比如某些品牌的蜜罐指纹“/static/js/portrait.js”“ record.js’></script>" + "<script>var token=”。目前，ZoomEye 识别出的蜜罐类型大体可分为：

‰ 传统的各种开源伪装协议服务的蜜罐。

‰ 面对网络空间测绘搜索引擎探测的专属蜜罐。

‰ 商用蜜罐。

‰ 工控等领域的专属蜜罐。

‰ 其他类型和用途的蜜罐。

七、SSL 证书解析功能

SSL（Secure Socket Layer）证书是一种数字证书，用于实现网站身份验证和数据加密传输，是保障网络通信安全的重要手段，也是网络空间资产非常重要的身份信息。ZoomEye 支持对网络空间资产 SSL 证书的 TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3等版本信息的获取，并遵循从 x509 格式对证书进行解析，还可额外获取证书加密套 件、通信过程中的握手信息（见图 4-28）

图 4-28 SSL 证书内容

另外，ZoomEye 还支持多种证书过滤器。用户可以利用它们进行精准检索。常见的证书过滤器如表 4-1 所示。

表 4-1 常见的证书过滤器

八、统计报告功能

ZoomEye 支持以多种方式生成网络空间资产统计报告，比如在搜索结果页面单击“统计报告”，会根据搜索结果数据生成资产全球分布、区域分布、端口分布、设备分布统计图表，如图 4-29 所示。

图 4-29 搜索结果统计报告

用户还可以在搜索结果页面右侧的快速操作栏单击“贡献”按钮，将搜索语句和描述信息分享给其他用户。用户可以在“个人资料”的“贡献历史”标签中查看生成的图片报告（见图 4-30）。

图 4-30 贡献历史

图片报告内容包含搜索语法、搜索日期、数据概览、全球统计排行等信息（见图 4-31）。

图 4-31 图片报告

另外，ZoomEye 提供诸如国家级断网事件、“心脏滴血”漏洞分析等专项安全分析报告，供用户参考（见图 4-32）。

图 4-32 专题报告

九、聚合分析功能

面对海量搜索结果，我们需要进行汇总、分类。ZoomEye 通过聚合分析功能来解决此类需求。ZoomEye 将用户常用的聚合数据在搜索结果页面右侧栏进行展示。如果需要统计更多维度，用户可以单击“更多”跳转至“聚合分析”页面。

我们也可以直接在顶部导航栏单击“工具”，选择“搜索聚合分析”，输入搜索语句来完成相关维度的统计。目前，ZoomEye 支持国家、省份、端口、组件、设备、证书内容等 32 个聚合维度，最大支持对数据的 Top100 统计，充分满足各种统计需求，同时支持统计结果导出，导出格式为 PNG 图片，方便用户插入分析报告（见图 4-33）。

图 4-33 聚合分析

ZoomEye - Cyberspace Search Engine（“钟馗之眼”）——全球网络空间测绘的领导者，收录了全球互联网空间中设备和网站及其地理位置、服务、组织、恶意IP、价值分等资产维度，实现全球资产发现、漏洞影响范围关联分析、潜在威胁发现等。