半夜收到朋友微信:“我刚用nmap扫了下自家路由器,结果没报错,也没弹窗提醒——它到底知不知道我在扫它?”
这个问题很实在。很多人装了防火墙、开了家长控制,却从没想过:自己随手在电脑上敲几行命令,路由器那边会不会悄悄记一笔?
大多数家用路由器:不记录,也不报警
你家客厅角落那台TP-Link、华为WS5200、小米AX3000,出厂默认状态下几乎都不具备“端口扫描日志”功能。它们的固件精简,内存小,连登录失败次数都未必记录,更别说分析TCP SYN包序列、识别nmap指纹特征了。
你可以翻一遍后台管理页(通常是 192.168.1.1 或 192.168.3.1),点进“系统工具→日志设置”或“安全→防火墙日志”,大概率会看到一行提示:“日志功能已禁用”或者干脆没有这个选项。
但“不记录”不等于“没反应”
路由器虽不记日志,但基础防护仍在跑。比如你执行:
nmap -sS 192.168.1.1filtered 状态——不是因为被记了小本本,而是它的防火墙直接丢包,连RST都不回。这种“沉默式拒绝”,本身就是一种防御动作。有些型号(如华硕ACRH17、网件R7000刷梅林固件后)支持开启SYN Flood防护或连接数限制,这时候频繁扫描可能触发临时限速甚至IP屏蔽,但它依然不会生成一条“XX时间,来自192.168.1.100的端口扫描行为”这样的日志。
真想看扫描痕迹?得加料
如果你真需要审计这类行为,有两个现实路径:
- 给路由器刷OpenWrt或Padavan等第三方固件,再手动安装
logrotate+iptables日志模块,配合ulogd2抓包记录; - 在局域网里单独放一台树莓派,用
tcpdump持续监听路由器LAN口流量,再用suricata规则匹配扫描特征(例如5秒内对同一IP发10个不同端口的SYN)。
普通用户真没必要折腾这个。与其盯着路由器记不记扫描,不如关掉远程管理、改掉admin默认密码、定期重启清缓存——这些动作带来的防护提升,远比查一条日志实在得多。
说白了:路由器不是哨兵,它是道门。门没装监控,但锁是好的,门缝也严实。你推它十下,它不会记名字,但推得太狠,门轴真会响。