[主機空間新手攻略29]什麼是PORT SCAN,常常因為PORT SCAN被虛擬主機業者擋IP怎辦要如何處理?常見發生的原因為何?
防火牆是保護主機空間安全的第一道防線,面對惡意行為防火牆的作法為阻擋該IP的連結,因此在防護的過程中,使用者也會因為誤觸安全機制而IP被阻擋,而最常被阻擋的原因為Port Scan,此將針對 Port Scan 作介紹與釐清,讓防火牆不會再阻擋自己人。
使用主機空間常提到的port是什麼呢?跟網站有什麼關係?
這裡的Port為通訊埠(又稱連接埠、協定埠)-Port詳細說明請點我,簡單來說為每一個IP有多個通道,而每個通道有約定特定的連結方式,如:HTTP的Port為80、HTTPS的Port為443、FTP的PORT為21(更多Port約定連結方式請點我)。故承上述,以瀏覽網頁來說,使用http://來連結網址走的是port 80;若是https://來連結網址走的是port 443。
P.S.一般為方便初學者理解,也會用學校來比喻(學校理解成IP);學校有許多處室,教學、學務、總務、人事、資訊…等(這裡各處室理解,網頁服務-HTTP/HTTPS、FTP服務、Mail服務…等),而每個處室有專屬的樓層/辦公室(每個樓層/辦公室就是Port)。
常常因為Port Scan 而導致IP被主機空間阻擋,什麼是Port Scan呢?
承上述,為了安全考量,虛擬主機防火牆僅會開放IP常見通用的Port,其他的Port則會關閉,因此若使用有誤連主機空間沒有開啟的Port時,而連結的裝置會去掃瞄主機上有開啟哪些Port,而這個掃瞄的動作為Port Scan;而主機空間的防火牆同樣因安全考量禁止Port Scan的動作,故此針對有Port Scan行為的IP會進行阻擋。
P.S.承上述學校比喻裡,一般學校只是開放部分學生通行的樓層與通道,其他的則會關閉以確保內部相關安全;因此對於有開啟關閉樓層、道通的行為,保全系統便會發出警示。
如何確認IP被主機空間商阻擋?
IP阻擋只阻擋某一IP(非全部IP),只要使用不同的網路連結您的網站,如手機4G/5G(非WIFI)或請其他外地的朋友試連,只要外部網路可以連,只有自已的網路連不到,就是遇到IP阻擋的問題。
P.S.下圖為主機的Log,紅框(DPT)顯示為要試連主機主機Port 8080,因主機沒開該Port,而造成有Port Scan的狀況。
P.S.有許多人在確認是否阻擋時會直接使用手機驗證,但若手機是連結WIFI(有可能與您電腦上IP會一致),而該情況下〝非是使用其他網路〞,故該請留意這個驗證時的誤區。
若我的ADSL IP被主機空間商阻擋該如何處理?
確認自已的ADSL IP(註1),再提供給您虛擬主機商解除阻擋。
(註1)如下提供幾個可以查詢自已ADSL IP的網頁。
①WHOIS365(WHOIS365主要非提供查詢ADSL IP,故提供圖片,請查看紅框處)
②本網站如何查ADSL IP的文章(請點我)
③WHATISMYIP:直接於瀏覽器上連結whatismyip.com.tw(可直接點選超連結)即可以得您連外時使用的ADSL IP是多少。
常見發生Port Scan而被主機空間商阻擋的原因
①使用Filezilla FTP軟體裡〝快速連線方式設定〞:使用快速連線時,軟體會自動用〝隱含式的TLS的FTP〞該方式Port走990,因主機空間該Port沒開,而造成軟體Port Scan而被阻擋。
→解決方法1:使用FileZilla軟體,請使用〝站台管理員方式設定〞,勿使用快速連線設定(設定教學請點我)
→解決方法2:改使用其他軟體,如:CyberDuck(設定教學請點我)
②收信軟體(如:Outlook/Thunderbird…等)使用SSL/TLS連線方式收信時(Mail傳輸使用SSL/TLS方式傳輸時使用的Port不一樣,如下列出伺服器使用加密連線時常見使用的Port,但詳情仍以您的主機空間商提供的為主。)
→POP3(使用SSL/TLS連線)Port:995
→IMAP(使用SSL/TLS連線)Port:993
→SMTP(使用SSL/TLS連線)Port:587 (舊型的SSL/TLS Port 是465;但新的Mail Server均是使用新的SSL/TLS Port是587,若有設定上問題仍以您的主機空間商提供的為主。)
③弱點掃瞄:政府、教學單位或其他投標單位,會要求需要作主機弱點掃瞄,該動作即是摸糊假裝入侵的方式,其中一個即是Port Scan,虛擬主機上是不允許的,故若有需求,可能會需要改使用雲端主機(VPS)/專屬主機,該類型主機會有最高ROOT權限,可以設定允許弱點掃瞄的IP。
④Ping 掃描:Ping 掃描被認為是最簡單的連接埠掃描技術。它們也稱為網際網路控制訊息協定 (ICMP) 請求。 Ping 掃描將一組多個 ICMP 請求傳送到各個伺服器以嘗試獲得回應。管理員禁止ping掃瞄,也可以限制被ping的次數,如下圖則是下了ping命令要ping1000次,因此不熟悉命令或是不了解使用軟體ping命令的操作狀況都會造成因大量的ping行為而造成port scan阻擋。
結論
若常因為同一件操作動作導致IP被阻擋,一般請使用端先釐清操作的動作哪裡有問題,才作申請解除IP阻擋與重新操作的動作,反覆的申請解除IP阻擋而無法理解問題的根源亦會造成雙方在執行業務上的困擾。
防火牆的用意是用來防範惡意行為,因此一般虛擬主機不會開放白名單加入客戶的ADSL IP(不論是固定IP還是浮動IP),如若使用端若電腦中毒被操縱,則後續影嚮範圍則無法估量。
文章來源 : https://wpoki.com
GIPHY App Key not set. Please check settings
One Comment