很多人一听到“端口扫描”,第一反应是:这肯定是黑客干的,而且是从外网偷偷摸摸扫进来的。其实不然——端口扫描的发起位置,完全取决于你想查谁、查什么。
最常见:从你自己的电脑发起
日常排查网络问题、测试自己搭的网站或服务是否正常,绝大多数人用的都是本地扫描。比如你在Windows上装了Nmap(或者用PowerShell命令),在命令行里敲:
nmap -sT 192.168.1.100这条命令就是从你当前这台笔记本或台式机出发,去探测局域网里另一台设备(比如NAS或智能电视)开了哪些端口。它不经过互联网,只走你家路由器内部,速度飞快,也最安全。
公司内网运维人员:从内网服务器批量扫
IT管理员想检查几十台办公电脑有没有开着危险端口(比如3389远程桌面没改密码),通常会登录到一台内网Linux服务器,写个脚本批量扫描:
for ip in {1..254}; do nmap -p 22,3389 192.168.2.$ip -oG -; done这种扫描依旧属于“内网主动探测”,发起方是公司自己的服务器,目标也是公司自己的设备,和外网无关。
外网扫描:真有人从互联网扫你家宽带IP
如果你家用的是公网IP(尤其是一些地区宽带默认给的动态公网IP),那确实可能被境外IP扫。这类扫描一般来自自动化僵尸网络,目的不是针对你个人,而是大海捞针找漏洞设备。它们的发起源五花八门:可能是东南亚某台被黑的VPS,也可能是东欧某个托管机房里的老服务器,甚至是你隔壁邻居中招的摄像头。
怎么知道有没有被扫?打开路由器后台看“防火墙日志”,如果发现大量不同IP反复连接你家80、443、23、21这些端口,基本就是了。不过别慌——只要没开远程管理、没弱密码、没运行来路不明的服务,扫了也白扫。
注意:有些“扫描”根本不是人在操作
很多所谓“被扫描”,其实是搜索引擎爬虫(比如百度蜘蛛)或CDN健康检测探针发的HTTP请求,它们只访问80/443端口,属于合法探测,不算真正意义的端口扫描。真正的端口扫描会尝试TCP握手或SYN包,覆盖几十上百个端口,行为特征明显。
说白了:端口扫描没有固定“出身地”。你查自家NAS,就从你电脑发起;公司查员工电脑,就从IT服务器发起;黑客找目标,可能从租来的云主机、跳板机甚至树莓派发起。关键不在“从哪来”,而在于“谁授权、为什么扫、扫完干啥”。