为了回应gameOver的评论并进一步详细说明，简单地检测一个端口是开放的很有趣，但我不会将其视为一个直接的“危险信号”。也许更好的方法可能是使用-sVor-sC标志运行 Nmap，这将运行服务/版本扫描或针对您认为有趣的目标端口启动默认 NSE（Nmap 脚本引擎）脚本，前提是您具有适当的授权这样做。

因此，例如，假设您发现端口 21 是开放的，这很有趣，但只有当您可以枚举其背后运行的服务时，它才会成为潜在的攻击媒介。一旦发现特定服务，您就可以开始搜索 CVE 并更好地了解是否存在与之相关的漏洞。通过运行脚本扫描，NSE 将测试您的特定端口并输出其发现，这可能包括（对于端口 21）允许读/写访问的匿名 FTP 登录错误配置。

现在，在进一步枚举在端口 21 后面运行的服务之后，您就有了潜在的攻击媒介。

最后一点，有一些已知端口曾使用过特定类型的恶意软件，但这些也可能是误报，因为我可以简单地从 TCP 端口 31337 运行我的 SSH 客户端。您可能会看到这个端口是开放的，并且马上想到背孔！相反，我只是使用不寻常的端口运行 SSH。

资料来源：

• https://nmap.org/nsedoc/scripts/

仅仅因为扫描中存在端口并不足以引发危险信号。

1. 一些防火墙或其他保护机制（蜜罐）会使它看起来像一个端口在未启动时
2. 并非所有端口都运行典型的服务
3. 在一个网络上可能看起来可疑的任何端口都可能在另一个网络上被正确锁定
4. 无论如何，您应该调查所有在扫描中弹出的端口，所以弹出什么并不重要

关键是您应该有一个有条不紊的流程来处理所有端口，并且与其他端口一样充满活力，因此特别是对一个端口感到兴奋并不是很有帮助。

让我尝试回答您的问题的意图。如果您的问题的意图是：

如果我通过外部扫描发现打开的端口，假设它具有典型的关联服务，那么我应该调查和/或解决的最高优先级是什么？

让我们从实际的实时数据开始。这是 SANS 风暴中心的链接https://isc.sans.edu/dashboard.html

其中之一是通过端口的攻击流量。这就是黑客现在正在追踪这些端口/服务的实时确认。我会说应该非常认真地对待这件事。您会注意到 21/22/23 位居榜首。

此外，在枚举 NMAP 扫描时，还可以查看主机是什么。确保检查“操作系统的最佳客人”。如果它显然是网络摄像头，我会说这比 Windows 10 机器的风险要高得多。可能不是，但“在野外”网络摄像头暴露在互联网上以“拥有”而闻名。多功能设备（如公司打印机）也因此而闻名。

https://www.shodan.io/search?query=basic+realm%3D%22camera%22+NOT+401

另外，这个网络上有什么？这也会影响这个答案。是家庭网络吗？如果是这样，可能不应该暴露任何东西。通常，家庭设备充当客户端，不需要请求任何入站连接。因此，在这种情况下，看到任何开放端口都是令人担忧的。

一个非常高的端口也可能令人担忧，因为它可能是一个后门。黑客会尝试通过将它们设置为端口 50505 之类的东西来隐藏它们，这将被完整的 nmap 扫描捕获，由于需要多长时间，这通常不会完成。这些端口被称为“临时”端口，它们可以被许多需要多个端口的服务使用，例如负载均衡器。