Ok, quindi penso di avere una risposta. Dopo aver esaminato la documentazione di supporto, sembra che Shodan sia focalizzato su determinati servizi. Non sembra effettuare regolarmente una scansione completa delle porte di tutti gli IP, solo quelli comuni specifici come telnet, ftp, http ed ecc.
Acquisisce più di quelle porte attraverso altri meccanismi, ma non è un Internet completo ogni indirizzo IP con ogni database di porte. Ho trovato queste informazioni su un punto di forza Defcon, ma è anche accennato nel wiki che è più affidabile:
link
"Shodan raccoglie i dati principalmente sui server Web (HTTP / HTTPS - porta 80, 8080, 443, 8443), nonché FTP (porta 21), SSH (porta 22), Telnet (porta 23), SNMP (porta 161), IMAP (porta 993), SIP (porta 5060), [2] e Real Time Streaming Protocol (RTSP, porta 554), quest'ultima può essere utilizzata per accedere alle webcam e al loro flusso video. [3] "