作者: raywan 時間: 2026-3-13 18:36 標題: 怎樣測試router/firewall是否安全沒有漏洞
想請問下高手,有咩方法可以測試到新買返來router是否安全,沒有任何被開啟tcp/udp port?
有無scanner/software可以做router安全測試
作者: jk1399 時間: 2026-3-13 21:42
想請問下高手,有咩方法可以測試到新買返來router是否安全,沒有任何被開啟tcp/udp port?
有無scanner/softwa ...
raywan 發表於 2026-3-13 18:36
1. 最簡單、最推薦給新手的方法(外部掃描,檢查公網有無開放port)
這些online工具直接從外面掃你的公網IP,模擬黑客視角:
CanYouSeeMe.org(最經典、超簡單):
https://canyouseeme.org/
輸入想check的port(例如常見危險的:21、22、23、80、443、3389、7547等),或一次check多個。
如果顯示Success / Open → 壞消息!有port forwarding或router漏洞。
Connection timed out / Closed → 正常(最好是Stealth/filtered,沒回應)。
一次只能check一個port,但免費、無限用。
ShieldsUP! by Steve Gibson(老牌但超實用):
https://www.grc.com/shieldsup
點「All Service Ports」或「Common Ports」,它會掃描常見port。
目標:全部顯示Stealth(最佳)或Closed。Open = 有問題。
RouterSecurity.org 的 Test Your Router:
https://routersecurity.org/testrouter.php
直接掃你的公網IP,顯示Shodan有無記錄你的開放port(Shodan是搜尋引擎,找到開放port很危險)。
Fing App的Router Vulnerability Check(手機App,iOS/Android):
下載Fing App → 連上你WiFi → Tools → Test Router Vulnerabilities。
它掃公網IP + 檢查UPnP、NAT-PMP等風險設定。
這些工具2026年都還在用,且免安裝。
2. 用軟件/工具自己掃描(更全面)
如果你想自己控制掃描範圍:
Nmap(最強大、免費開源,專業級):
下載:https://nmap.org/(Windows/Mac/Linux都有)
命令範例(從你家內部電腦跑,但掃公網IP):textnmap -Pn -sS -p- -T4 your.public.ip.address
-p-:掃全部65535個port
想掃常見port:nmap -sV --top-ports 1000 your.public.ip
如果顯示open → 有問題。
圖形版:Zenmap(Nmap附帶),超易用。
Angry IP Scanner(超簡單GUI):
下載:https://angryip.org/
輸入你的公網IP,掃描port範圍(e.g. 1-65535),看有無open。
Advanced IP Scanner 或 Advanced Port Scanner(Windows專用,免費):
掃本地網絡 + port check。
注意:掃公網IP時,用手機4G/5G熱點跑(或去朋友屋掃),因為從內網掃router公網IP可能被NAT擋住,結果不準。
3. 額外安全檢查步驟(新router必做)
光check port不夠,router安全還要這些:
登入router admin頁(通常192.168.1.1或192.168.0.1)
改admin密碼(強密碼!)
關閉Remote Management / WAN access(千萬別開)
關閉UPnP(很多漏洞來源)
開Firewall(預設應開)
改WiFi密碼為WPA3(或至少WPA2)
檢查Firmware有無更新(新router可能已最新,但check一次)
用Shodan.io搜你的公網IP:https://www.shodan.io/
如果有結果 → 代表有開放port被公開記錄,超危險,立即關。
總結:新router安全測試流程
先用CanYouSeeMe.org 或 ShieldsUP! 快速check常見port(5分鐘搞掂)。
如果懷疑有問題,再用Nmap全面掃。
登入router關閉不必要功能 + 更新韌體。
最好每隔幾個月再check一次(或裝Fing App自動監控)。
作者: fakeman 時間: 2026-3-16 23:50
可以試下用 nmap 果 d
作者: tunster 時間: 2026-3-17 09:04
想請問下高手,有咩方法可以測試到新買返來router是否安全,沒有任何被開啟tcp/udp port?
有無scanner/softwa ...
raywan 發表於 2026-3-13 18:36
其實你都話"新買", 你唔開咪乜事都無囉
作者: javacomhk 時間: 2026-3-17 12:07
熄咗個 Router 熄埋個 WiFi 只用流動數據 就最安全
作者: raywan 時間: 2026-3-17 22:58
可以試下用 nmap 果 d
fakeman 發表於 2026-3-16 15:50
之前一路都有用online port scanner試下隻firewall有無open port,但係作用不大,今日聽師兄話試下用nmap scan下所謂business class 大陸router,scan之下,發現同家用router無咩分別,只係concurrent多過家用O的
,仲有一樣野發現,所謂ping stealth, Anonymous WAN requests (ping),都係係無用,表面上ping隻ip no responding/unreachable,實際上響linux traceroute一樣有response,只係唔response ping
,scan一大堆tcp/udp port,仲可以知道intranet有咩devices連住,同中門半開無分別相反,試下scan下所謂open source software firewall,可能開左IDS/IPS,port scan function,應該有開放既TCP port,一個都見唔到
,粒IP踢左入ban list,粒IP無得再用port scan試下其他function
作者: fakeman 時間: 2026-3-18 00:04
之前一路都有用online port scanner試下隻firewall有無open port,但係作用不大,今日聽師兄話試下用n ...
raywan 發表於 2026-3-17 22:58
大陸果 d cheap 商用嘅好多都真係好似你講咁,單純硬件勁 D,識自組基本一定做得好過佢
作者: pbodq 時間: 2026-3-18 05:34
之前一路都有用online port scanner試下隻firewall有無open port,但係作用不大,今日聽師兄話試下用n ...
raywan 發表於 2026-3-17 22:58
咁係因為Linux traceroute係用UDP而非Windows常用的ICMP type 8
而又咁岩, 大部份Linux distributions, 或者直頭說Openwrt default的WAN zone input係實施reject UDP,
才會feedback UDP unreachable response, 咁樣就罐頭預製菜
但介面容許hardenning用DROP, 想點用就睇個user
stealth全drop,或者唔應機ICMP唔一定就係係好
唔好話secure唔secure la, 直頭好多applications都行唔到
你試下叫game company 隻datacentre server閘在UDP ping request input, 睇下屋企隻手遊爆唔爆紅