办公室的网络突然变慢,打印机连不上,同事说系统老是弹出异常提示。你开始怀疑,是不是有人在悄悄扫描公司的网络端口?这可不是小事,端口扫描往往是攻击的前兆。
什么是端口扫描
简单说,端口就像电脑上的“门”,不同的服务(比如网页、邮件、远程登录)通过不同的端口对外提供功能。黑客会用工具快速尝试连接多个端口,看哪些是开着的,进而寻找可利用的漏洞。这种行为就是端口扫描。
常见的端口扫描类型
SYN 扫描最常见,它不完成完整的连接,只发个“试探包”,速度快还不容易被普通用户察觉。还有全连接扫描、UDP 扫描等,目的都是摸清你的系统开了哪些“门”。
怎么判断自己被扫了
如果你的防火墙日志里频繁出现来自同一个 IP 的连接尝试,尤其是针对 21(FTP)、22(SSH)、3389(远程桌面)、445(文件共享)这些常见端口,那基本可以确定有人在扫你。
比如某天早上,IT 小李发现公司防火墙告警,一个陌生 IP 在一分钟内尝试连接了 50 多个端口,从 20 到 1000 不等。这不是正常访问,明显是自动化工具在跑。
用命令行查看可疑连接
在 Windows 上打开命令提示符,输入下面命令:
netstat -an | find "SYN_RECEIVED"如果看到一堆处于 SYN_RECEIVED 状态的连接,而且来源 IP 很奇怪,那可能正在被 SYN 扫描攻击。
在 Linux 或 macOS 上可以用:
netstat -an | grep SYN_RECV或者更直观的:
ss -tuln | grep LISTEN这个命令列出所有监听中的端口,结合日志对比,就能发现异常。
启用日志监控更省心
大多数企业级路由器和防火墙都支持记录入站连接。建议开启日志功能,并定期查看。有些设备还能设置阈值,比如“同一 IP 10 秒内尝试超过 20 个端口就告警”,这样能第一时间发现问题。
比如某公司启用了日志分析工具,某天收到邮件提醒:IP 121.36.55.209 在 3 秒内扫描了 80、8080、22、23、25 等端口。管理员立刻封禁该 IP,并上报安全事件。
应对措施别忘了
一旦确认被扫描,先在防火墙或路由器上封掉来源 IP。如果是公网 IP 被扫,短期内大概率还会再来,长期方案是隐藏不必要的服务,关闭不用的端口,把远程管理类服务(如 SSH、RDP)改成非标准端口。
另外,别让内部电脑直接暴露在公网。很多小公司把财务机或监控系统直接接外网,这是高危操作。加一层防火墙,做点基础防护,能挡住大部分自动化的扫描工具。