什麼是Port Scan？IP被虛擬主機阻擋原因與處理教學？

1. 為何突然連不上自己的網站？

您是否曾遇過這種情況：前一分鐘還能正常瀏覽或登入自己的網站，下一分鐘卻突然顯示「連線逾時」或「找不到伺服器」，但請朋友測試卻一切正常？這很可能不是網站當機，而是您的 IP 位址，被主機的防火牆當成可疑對象給暫時封鎖了。

主機防火牆是抵禦駭客攻擊的第一道防線，但有時我們自己不經意的操作，也可能被防火牆誤判為惡意行為。其中最常見的「誤觸」原因就是「Port Scan (連接埠掃描)」。本文將深入淺出地解釋 Port Scan 是什麼，以及如何避免因日常操作而誤觸規則，導致自己被擋在門

2. 基礎觀念：什麼是 Port (通訊埠)？

使用主機空間常提到的port是什麼呢？跟網站有什麼關係？

這裡的Port為通訊埠（又稱連接埠、協定埠）－Port詳細說明請點我，簡單來說為每一個IP有多個通道，而每個通道有約定特定的連結方式，如：HTTP的Port為80、HTTPS的Port為443、FTP的PORT為21（更多Port約定連結方式請點我）。故承上述，以瀏覽網頁來說，使用http://來連結網址走的是port 80；若是https://來連結網址走的是port 443。

P.S.一般為方便初學者理解，也會用學校來比喻（學校理解成IP）；學校有許多處室，教學、學務、總務、人事、資訊…等（這裡各處室理解，網頁服務－HTTP/HTTPS、FTP服務、Mail服務…等），而每個處室有專屬的樓層／辦公室（每個樓層／辦公室就是Port）。

【比喻】
您可以將一台網站主機想像成一棟多功能辦公大樓，這棟大樓只有一個地址（就是主機的 **IP 位址**）。

而 **Port (通訊埠)** 就像是這棟大樓裡不同部門的專屬大門，每個門都有一個編號，並且只處理特定的業務：

• 80 號門 (HTTP)： 負責接待一般網站訪客。
• 443 號門 (HTTPS)： 負責接待需要加密連線的網站訪客。
• 21 號門 (FTP)： 負責處理檔案上下傳的物流通道。
• 25/465/587 號門 (SMTP)： 負責寄送信件的郵局窗口。

當您瀏覽網站時，您的電腦會自動找到 80 或 443 號門；當您用 FTP 軟體時，它會自動走向 21 號門。不同的網路服務，透過不同的 Port 才能正確運作。

3. 問題核心：什麼是 Port Scan (連接埠掃描)？

常常因為Port Scan 而導致IP被主機空間阻擋，什麼是Port Scan呢？

延續上面的比喻，**Port Scan** 就像一個可疑人士，他不知道這棟大樓有哪些部門，於是他就從 1 號門開始，一個個地去推、去敲、去搖晃每一扇門，試圖找出哪些門是開著的、哪些是鎖著的。

對於大樓的保全系統（主機防火牆）來說，這種行為極具威脅性，因為這正是駭客在發動攻擊前探測弱點的標準程序。因此，一旦防火牆偵測到某個 IP 正在進行這種「大規模試探」的行為，就會立即將其列為危險對象，並在第一時間將其 IP 封鎖，禁止他再靠近這棟大樓。

4. 如何診斷：確認我的 IP 是否被封鎖？

如何確認IP被主機空間商阻擋？

IP阻擋只阻擋某一IP（非全部IP），只要使用不同的網路連結您的網站，如手機4G/5G（非WIFI）或請其他外地的朋友試連，只要外部網路可以連，只有自已的網路連不到，就是遇到IP阻擋的問題。

P.S.下圖為主機的Log，紅框(DPT)顯示為要試連主機主機Port 8080，因主機沒開該Port，而造成有Port Scan的狀況。

P.S.有許多人在確認是否阻擋時會直接使用手機驗證，但若手機是連結WIFI（有可能與您電腦上IP會一致），而該情況下〝非是使用其他網路〞，故該請留意這個驗證時的誤區。

【診斷步驟】
要確認問題是否為 IP 封鎖，方法非常簡單：

1. 交叉測試： 請朋友、同事從他們家裡或公司的網路連線看看您的網站。
2. 更換網路： 關閉您手機的 Wi-Fi，改用 4G/5G 行動網路連線您的網站。

如果以上兩者都能正常瀏覽，唯獨您自己家裡或公司的網路（連接 Wi-Fi 的電腦和手機）無法連線，那麼就可以 100% 確定是您當前的網路 IP 被主機防火牆封鎖了。

5. 如何解鎖：提供 IP 給主機商的步驟

若我的ADSL IP被主機空間商阻擋該如何處理？

確認自己的ADSL IP(註１)，再提供給您虛擬主機商解除阻擋。

(註１)如下提供幾個可以查詢自已ADSL IP的網頁。
①WHOIS365（WHOIS365主要非提供查詢ADSL IP，故提供圖片，請查看紅框處）

②本網站如何查ADSL IP的文章（請點我）
③WHATISMYIP：直接於瀏覽器上連結whatismyip.com.tw（可直接點選超連結）即可以得您連外時使用的ADSL IP是多少。

【解決流程】
確認被封鎖後，請依照以下流程處理：

1. 找出您目前的公網 IP： 使用可正常上網的裝置（例如您的手機行動網路），開啟瀏覽器，訪問 whatismyip.com 或類似網站，網站上顯示的 IP 就是您目前被封鎖的 IP 位址。
2. 聯繫主機商： 將您的 IP 位址提供給主機商的客服或技術支援團隊。
3. 請求解鎖： 告知他們您的 IP 可能因 Port Scan 被誤擋，請求協助查詢並解除封鎖。

通常主機商都能在短時間內為您處理完畢。

6. 預防勝於治療：常見誤觸 Port Scan 的原因與解決方案

常見發生Port Scan而被主機空間商阻擋的原因

了解為什麼會被擋，才能從根本上避免問題。以下是幾個最常見的「無心之過」：

6.1. 原因一：FileZilla 的「快速連線」

使用Filezilla FTP軟體裡〝快速連線方式設定〞：使用快速連線時，軟體會自動用〝隱含式的TLS的FTP〞該方式Port走990，因主機空間該Port沒開，而造成軟體Port Scan而被阻擋。
→解決方法1：使用FileZilla軟體，請使用〝站台管理員方式設定〞，勿使用快速連線設定（設定教學請點我）
→解決方法2：改使用其他軟體，如：CyberDuck(設定教學請點我)

6.2. 原因二：Email 軟體的 SSL/TLS 設定錯誤

收信軟體（如：Outlook／Thunderbird…等）使用SSL/TLS連線方式收信時…（Mail傳輸使用SSL/TLS方式傳輸時使用的Port不一樣…）

【原因與解法】
當您在 Outlook 等軟體中設定 Email 帳號時，如果加密方式 (SSL/TLS) 與 Port (通訊埠) 的組合不正確（例如，加密選了 SSL 卻用了非加密的 Port），郵件軟體可能會嘗試連接多個不同的 Port，進而觸發防火牆的 Port Scan 防護機制。
解決方案： 請向您的主機商索取正確的 Email 設定資訊，並在軟體中準確填寫加密方式與對應的 Port 號碼。

6.3. 原因三：執行主機弱點掃描

弱點掃瞄：政府、教學單位或其他投標單位，會要求需要作主機弱點掃瞄，該動作即是摸糊假裝入侵的方式，其中一個即是Port Scan，虛擬主機上是不允許的，故若有需求，可能會需要改使用雲端主機(VPS)／專屬主機…

【原因與解法】
出於合規要求，部分網站需要進行弱點掃描。然而，弱點掃描的本質就包含了 Port Scan 等探測行為，這在共享資源的虛擬主機環境中是被嚴格禁止的。
解決方案： 如果您有弱點掃描的需求，必須選用提供 Root 權限的 VPS 或專屬主機，並在掃描前將掃描來源的 IP 加入防火牆白名單。

6.4. 原因四：過度的 Ping 掃描

④Ping 掃描：…管理員禁止ping掃瞄，也可以限制被ping的次數，如下圖則是下了ping命令要ping1000次，因此不熟悉命令或是不了解使用軟體ping命令的操作狀況都會造成因大量的ping行為而造成port scan阻擋。

【原因與解法】
雖然單次的 `ping` 指令是無害的，但某些網路診斷工具或不當的指令參數，可能會在短時間內對伺服器發送大量 `ping` 封包，這種行為同樣會被防火牆視為攻擊前兆。
解決方案： 僅在需要時執行單次 `ping` 進行診斷，避免使用會發送大量請求的掃描工具。

7. 常見問題 (FAQ)