在线端口扫描
快速探测目标主机的常见核心服务端口是否存在泄露风险。
端口扫描全解析:如何排查系统堡垒的致命后门
1. 网络端口(Network Port)是什么?为什么要扫?
在计算机网络中,如果 IP 地址是一栋大楼的具体门牌号,那么“端口”就意味着大楼内部无数且特定的房间或服务窗口。TCP/IP 协议族共定义了 65535 个合法端口(0~65535),常见的服务都拥有约定俗成的专用端口号:比如 80 用作 HTTP 网页流量,443 用作加密的 HTTPS 流量,以及 22 专用于基于强加密方案的 SSH 远程命令行登入协议。
黑客与白帽安全专家一样,入侵前执行的第一个战术动作永远是端口枚举扫描 (Port Scanning)。对互联网暴露一台服务器而不在前端加载防火墙限制端口准入,无异于在闹市中把金库大门永远敞开。通过 `ipinfo.im` 的在线端口扫描仪,您可以站在“外部攻击者”视角,冷酷地审视自己的公网 IP 或云主机域名,看是否有不该暴露的服务端口在公网裸奔。
2. 端口状态背后的秘密:开放、关闭与被过滤
基于 TCP 三次握手 (SYN -> SYN/ACK -> ACK) 发起探测后,端口会反射出系统的安全级别特征:
- 开放 (Open): 目标防火墙不仅放行了这个特定的 TCP 端口号封包,而且服务器内部正有一款服务守护进程(如 Nginx/Apache 监听 80,sshd 监听 22)在后台积极响应了这个连接。这是极具诱惑力的数据入口,需要重点防范爆破攻击与应用层注入漏洞。
- 关闭 (Closed): 服务器拒绝了这个特定的连接请求(返回 RST 报文)。这说明对应的端口虽然没有被防火墙硬生生拉闸,但主机里确实没有相关应用在跑,此时该通道无法立即成为黑客刺入系统的捷径。
- 被过滤 (Filtered / Timeout): 请求就像打入黑洞一般毫无回音(本网页中的 Closed 结果很多时候也是超时引发的)。这是配置完善的现代服务器默认策略。高级网络管理员往往部署了 IPtables、云安全组(Security Groups)或者复杂的硬件级 WAF。这类设备收到非预期的敲门信号时,会选择“沉默丢弃 (DROP)”,极大提升了扫描器的侦测成本与迷惑时间。
3. 这五个凶险端口你绝对不能暴露在公网!
在企业级安全实战中,以下端口如果不做 IP 白名单准入限制而直接对整个互联网开放,基本等同于自杀:
第一,3389 (Windows 远程桌面 RDP): 勒索软件团伙的最爱。历史上无数中小企业服务器因为直接开放 3389 而被永恒之蓝等各类变种或弱口令爆破沦陷,所有数据库被瞬间强制加密,面临极度昂贵的勒索赎金压力。
第二,22 (Linux SSH 管理端): 如果您不修改默认的 22 端口,甚至允许公网 IP 使用 `root` 加密码直接登录(而不是采取更安全的 RSA 公钥体系),各类僵尸网络的自动化暴破脚本一天内可能敲击您的服务器上万次。
第三,3306 / 6379 (MySQL / Redis 数据库): 核心业务数据资产底座。许多新手极其马虎地将绑定地址设置为 `0.0.0.0`,导致任何人都可以尝试连接数据库,这类公网端口每天甚至能引来成千上万次恶意 SQL 注入试探。
4. nmap 进阶:从 TCP 基础扫描到隐形幽灵
虽然本站在网页端通过 Python Socket 库发起了可靠的基础 TCP 全连接扫描,但在专业红队安全演习中,安全极客往往必须熟练掌握更硬核的命令行神兵利器——**Nmap (Network Mapper)**。
与全连接扫描不同,高级黑客倾向使用 `nmap -sS` 发起半开式 SYN “隐形扫描 (Stealth Scan)”。通过底层系统权限直接发送定制的 SYN 握手包,在目标刚产生回应意向的瞬间便切断连接。这能在避开大部分老旧系统级日志追踪的同时,迅猛洞悉端口虚实。