端口扫描器是一种用于探测主机或服务器以识别开放端口的应用程序。不良行为者可以使用端口扫描器通过查找主机上运行的网络服务来利用漏洞。安全分析师也可以使用它们来确认网络安全策略。

在网络或服务器上运行端口扫描可以揭示哪些端口是开放的和监听的（接收信息），以及揭示安全设备的存在，例如发件人和目标之间存在的防火墙。这种技术称为指纹识别。它对于测试网络安全和系统防火墙的强度也很有价值。由于此功能，它也是一种流行的侦察工具，供攻击者寻找访问薄弱点以闯入计算机。

港口提供的服务各不相同。它们的编号从0到65535，但某些范围更常用。端口0到1023被标识为“知名端口”或标准端口，并已由Internet号码分配机构(IANA)分配服务。一些最著名的港口及其分配的服务包括：

在1023之后的端口上也提供标准服务，如果这些端口打开，则表明系统受感染，因为它在一些影响深远的木马和病毒中很受欢迎。

端口扫描将精心准备的数据包发送到每个目标端口号。端口扫描软件能够使用的基本技术包括：

端口扫描器发送一个UDP或TCP网络数据包，询问端口的状态。结果将揭示网络或服务器状态，可以是以下之一：打开、关闭和过滤。

1.打开——接受

对于不良行为者，定位开放端口是任务。这给安全人员带来了挑战，他们面临着用防火墙阻止开放端口的任务（同时避免切断授权用户的访问）。

2.封闭——不倾听

尽管端口已关闭，但仍可访问，因此可用于确认IP地址上是否存在主机。安全人员应持续监控关闭的端口，并考虑用防火墙对其进行封锁（使其成为过滤端口）。

3.过滤——丢弃/阻止

过滤后的端口表示以下内容：

只要数据包没有到达目标，不良行为者就无法发现更多信息。通常，发送到过滤端口的数据包不会收到响应，但当收到响应时，错误消息通常是“禁止通信”或“无法到达目的地”。

坏人如何使用端口扫描作为攻击方法

据SANSInstitute称，端口扫描是不良行为者在搜索易受攻击的服务器时最常用的策略之一。当以网络为目标时，端口扫描通常是第一步。端口扫描提供有关网络环境的有用信息，例如：

此类信息对于寻找软件漏洞的恶意行为者非常有价值。能够识别组织正在运行特定的DNS或Web服务器可以更容易地找到这些漏洞。有几种TCP协议技术允许坏人使用诱饵流量进行端口扫描，完全隐藏他们的网络地址和位置。

为使发送者不被接收系统的日志检测到而开发的扫描称为隐身扫描，攻击者特别感兴趣。尽管端口扫描在该领域很受欢迎，但对于网络指纹识别和渗透测试人员评估网络安全强度而言，它是一种有价值的工具。