端口扫描与子域发现
拿到一台主机、或一个域名,想摸清它对外暴露了什么?两条路各有各的用法:端口扫描主动探一台主机开了哪些端口、跑什么服务;子域发现只读公开数据、不与目标交互,就能挖出一个域名底下的子域。
一、端口扫描:一台主机开了哪些端口、跑什么服务
Section titled “一、端口扫描:一台主机开了哪些端口、跑什么服务”输入一个主机名或 IP,快速扫出它开放的 TCP 端口,实时显示进度与「已发现 N 个开放」。每个开放端口给三列:
- 端口号。
- 服务名:先按端口猜,再结合抓到的 Banner 修正,即便把 SSH、redis、mysql 之类跑在非标准端口上,也能认出来。
- Banner:抓到的服务欢迎信息;HTTP 端口则给出状态行与
Server头。
扫描范围三选一:常用端口(默认,一批精选的高频端口)、全部端口(1–65535)、或自定义(如 80,443,8000-8100)。是否抓取 Banner 可开关,关掉后仍按端口给出服务名,只是不再抓欢迎信息、也不据此校正。开放端口列表可按端口号排序。开箱即用,不需要额外驱动或特权。
非标准端口也认得出:把 SSH、redis、mysql 之类跑在冷门端口上,只按「端口号猜服务」的普通扫描就会认错,这里用抓到的 Banner 校正,跑在哪个端口都能认出真实服务。

二、子域发现:被动摸清一个域名的子域
Section titled “二、子域发现:被动摸清一个域名的子域”输入一个域名,聚合多个公开情报源并行查询,列出它底下的子域。来源分两类展示(各带命中计数):证书透明度日志 与 被动 DNS。结果自动去重、排序,支持实时过滤、一键复制全部。某个来源临时不可用或被限流也不会拖垮整体,其余来源照常出结果、各自标注命中数。
只读公开数据、不与目标交互:全程只查询公开数据集,不向目标域名或其服务器发送任何请求。这是它和「主动扫描」的根本区别。

三、主动 vs 被动,怎么配合
Section titled “三、主动 vs 被动,怎么配合”| 端口扫描 | 子域发现 | |
|---|---|---|
| 对象 | 一台主机 / IP | 一个域名 |
| 方式 | 主动探测目标端口 | 被动查公开情报 |
| 是否与目标交互 | 是(直接连它的端口) | 否(只读公开数据) |
| 拿到什么 | 开放端口 + 服务 + Banner | 对外暴露的子域清单 |
先用子域发现只读公开数据铺开一个域名的资产面,再对挑出的主机用端口扫描核实开了哪些服务,被动铺面、主动核点,一套下来对外暴露面就清楚了。
四、什么时候用
Section titled “四、什么时候用”- 摸清一台设备 / 服务器对外的服务面:开了哪些端口、大致跑什么、Banner 是什么。
- 拿到一个域名,想只凭公开数据就盘点它对外暴露的子域。
- 做资产盘点、梳理对外暴露面:被动挖子域 + 主动核端口,两头配合。