家里装了新路由器,刚连上Wi-Fi,手机自动弹出“设备正在被扫描”的提示。你是不是随手点了关闭,觉得没啥大不了?很多人觉得端口扫描只是网络里的“小动静”,不痛不痒,完全可以忽略。但真能这么放心吗?
什么是端口扫描
简单说,端口就像你家的门窗,电脑上的服务(比如网页、远程登录)通过特定端口对外通信。端口扫描就是有人拿着“手电筒”挨个照你的设备,看哪些门开着,有没有机会溜进去。
常见的工具有 nmap,一条命令就能扫出一台主机开放了哪些端口:
nmap -sS 192.168.1.100这行命令执行后,可能就会显示你的电脑开了22(SSH)、80(HTTP)甚至3389(远程桌面)端口。这些信息一旦落到坏人手里,攻击路径就清晰了。
什么时候可以稍微松口气
不是所有扫描都得紧张兮兮。比如你在公司内网,IT部门定期用扫描工具检查设备安全状态,这是正常运维。又或者你运行了公开服务,像网站服务器,本来就要对外开放80和443端口,被扫到也不奇怪。
再比如你用了家庭宽带,运营商分配的是动态公网IP,今天是123.123.123.123,明天可能就变了。这种情况下,即使被扫到,攻击者也难持续追踪,风险相对低点。
但这些情况千万别忽视
如果你发现同一台外部IP频繁扫描你家多台设备,尤其是深夜集中出现,那大概率不是巧合。更危险的是,你明明没开任何远程服务,却发现3389或22端口被反复试探——这说明有人在找突破口。
有个真实案例:老张开了台旧电脑做下载机,顺手打开了5000端口给远程管理用。他觉得“自己知道就行”,结果一个月后电脑莫名变慢,查日志才发现早被自动化脚本盯上,植入了挖矿程序。
该怎么做才稳妥
最简单的办法是关掉不用的端口。路由器里把UPnP关了,别让设备自动开洞。需要远程访问时,用动态DNS配合端口转发,用完及时关掉。
另外,防火墙要打开。Windows 自带防火墙别禁用,Linux 上可以用 iptables 或 ufw 限制来源:
ufw deny 22/tcp如果必须对外开放服务,建议加访问控制,比如只允许特定IP连接SSH。
最后,定期看一眼路由器后台的“安全日志”。很多家用路由器现在都有入侵检测提示,看到“Port Scan”警报别直接忽略,查查来源IP是不是可疑。
端口扫描本身不是攻击,但它往往是攻击前的踩点。你可以不立刻反击,但不能假装看不见。家里门窗开着没人管,丢东西只是时间问题。