ToolActToolAct

Ferramenta de Verificação de Porta

Verifique se portas específicas estão abertas em qualquer IP ou domínio

Preenchimento Rápido:

Verificar até 20 portas de uma vez

Digite um endereço IP e números de porta, depois clique em "Verificar Portas"

O que é um Verificador de Portas?

O verificador de portas testa se uma porta específica de um host parece acessível. Portas representam serviços como HTTP, HTTPS, SSH, SMTP, bancos de dados ou aplicações próprias; quando uma porta não responde, a causa pode ser estado do servidor, firewall, NAT, DNS, roteamento, grupos de segurança na nuvem ou um serviço escutando apenas em localhost. A ferramenta ajuda em checagens de implantação, solução de problemas, monitoramento e confirmação de visibilidade externa. Uma porta aberta não significa que a aplicação está saudável ou segura, e uma porta fechada não revela sozinha a causa exata. Avaliação de segurança exige revisar protocolo, autenticação, configuração e exposição.

Como Usar

Como usar

  1. Insira o endereço do servidor-alvo no campo IP/Domínio
  2. Insira os números das portas a verificar, separados por vírgulas
  3. Ou use os botões de preenchimento rápido para predefinições de portas comuns
  4. Clique em 'Verificar Portas' e aguarde os resultados
  5. Veja o status de cada porta, tempo de resposta e quaisquer mensagens de erro

Interpretação de Rede

  • Um resultado fechado ou filtrado pode ser causado por firewalls, NAT, bloqueio do provedor, vinculação de serviço ou endereço de host incorreto.
  • Verifique a partir do mesmo caminho de rede que seus usuários usarão; a visibilidade das portas internas e externas pode diferir.

Casos de uso

Verificar se portas comuns de serviço estão abertasInsira um host ou IP e uma lista de portas, depois execute uma sondagem TCP pelo backend que informa o status aberto ou fechado, tempo de resposta e eventuais erros. Somente o host e as portas digitadas são enviados; a página não registra, repete nem compartilha a consulta com outros serviços. As predefinições cobrem portas de Web, SSH/banco de dados, e-mail e serviços mistos comuns.
Escanear uma pequena lista personalizada de portas com segurançaO analisador aceita valores separados por vírgula, espaço em branco ou vírgula chinesa, mantém apenas portas válidas de 1 a 65535, remove duplicatas e limita cada requisição a 20 portas. Isso mantém verificações pontuais focadas, sem transformar a página em um scanner amplo. Use a coluna de tempo para separar respostas rápidas de RST (fechado) de timeouts de vários segundos (filtrado).
Copiar resultados para handoff de operaçõesApós uma verificação, as contagens de abertas e fechadas aparecem acima de uma tabela que pode ser copiada como texto separado por tabulação. É útil para verificação de firewall, solução de problemas de implantação, notas de suporte e confirmação de que um serviço recém-exposto está acessível. Compare o resultado com registros DNS, painéis de hospedagem e regras de firewall antes de encerrar um incidente.
Confirmar alterações em grupo de segurança na nuvem ou firewallApós atualizar um security group da AWS, NSG do Azure ou regra do iptables, execute a mesma lista de portas de fora da VPC para confirmar que a regra realmente abriu o caminho. O status aberto nesta página só confirma acessibilidade TCP, não a saúde da aplicação, autenticação nem se o listener é o serviço pretendido e não um placeholder padrão.
Distinguir portas filtradas de verdadeiramente fechadasUm resultado filtrado geralmente significa que um firewall descarta pacotes SYN silenciosamente em vez de responder com RST, então o host pode ainda estar executando o serviço. Use a coluna de tempo para comparar os atrasos de resposta com portas conhecidas como abertas no mesmo host; um timeout lento na porta 5432 ao lado de um RST rápido na porta 3306 é um forte sinal de filtragem.

Princípio técnico

A verificação de portas tenta estabelecer conexões TCP a portas especificadas em um host de destino. Um handshake TCP de três vias bem-sucedido (SYN, SYN-ACK, ACK) indica que a porta está aberta e um serviço está escutando. Se a conexão for recusada (RST, reset), a porta está fechada (sem serviço). Se nenhuma resposta chegar (timeout), a porta pode estar filtrada por um firewall ou NAT, ou o host pode estar offline. Um verificador de portas baseado em navegador é fundamentalmente limitado: o navegador não pode enviar pacotes TCP SYN brutos, então usa um desvio. Desvios comuns: 1) HTTP HEAD ou GET para a porta e verificação do código de resposta (funciona para proxies HTTP/HTTPS em portas incomuns, 80, 8080, etc.); 2) WebSocket upgrade para a porta e verificação do resultado do handshake (funciona para a maioria dos servidores porque WebSocket começa como HTTP e depois faz upgrade); 3) requisições de carregamento de imagem (o navegador busca uma imagem 1x1 de http://host:port/ e a conexão ou tem sucesso ou falha); 4) sondagens sem conexão (o navegador tenta buscar favicon, robots.txt ou um caminho conhecido e infere a partir da resposta). A página usa a abordagem WebSocket como sonda principal: 1) constrói ws://host:port/ ou wss://host:port/, 2) chama new WebSocket(url), 3) mede o tempo até onopen (aberta) ou onerror (fechada/filtrada). O timeout de 1 a 3 segundos distingue aberta (imediata) de fechada (recusa rápida) de filtrada (timeout). A página exibe os três estados com a latência. Intervalos de portas: 0-1023 são bem conhecidas (HTTP 80, HTTPS 443, SSH 22, FTP 21, SMTP 25, DNS 53, POP3 110, IMAP 143, etc.), 1024-49151 são registradas (frequentemente usadas por aplicações como bancos de dados, serviços personalizados), 49152-65535 são dinâmicas/privadas (usadas pelo sistema operacional para conexões de saída, frequentemente portas de origem). A porta 0 é reservada (o sistema operacional escolhe uma porta efêmera quando você vincula a 0). A página permite ao usuário escolher uma única porta, uma lista de portas comuns ou um intervalo personalizado. Uma ressalva: uma verificação baseada em navegador só enxerga o que o navegador pode alcançar. Ao sondar atrás de um proxy corporativo ou NAT, você pode receber filtrado para portas que estão realmente abertas no destino. A página não é intencionalmente uma ferramenta de auditoria de segurança; o usuário deve usar nmap, masscan ou ZMap para isso, que rodam em um host com acesso a sockets brutos.

  • Handshake TCP de três vias: SYN, SYN-ACK, ACK = aberta; RST = fechada; timeout = filtrada ou host offline; esta é a interpretação padrão.
  • Desvios do navegador: sondagens HTTP HEAD/GET (portas incomuns), WebSocket upgrade (maioria dos servidores), busca de imagens, favicon/robots.txt; a página usa WebSocket como principal.
  • Intervalos de portas: 0-1023 bem conhecidas (HTTP 80, HTTPS 443, SSH 22), 1024-49151 registradas, 49152-65535 dinâmicas; porta 0 é reservada.
  • Timeout distingue estados: imediata = aberta, recusa rápida = fechada, sem resposta = filtrada; a página usa timeout de 1 a 3 segundos.
  • Limitações do navegador: não pode enviar SYN bruto, então não pode fazer varredura TCP completa (SYN scan, FIN scan, NULL scan, XMAS scan); a página é aproximada.
  • Não é uma ferramenta de segurança: para testes de penetração, use nmap, masscan ou ZMap em um host com acesso a sockets brutos; a página é uma verificação rápida, não uma auditoria de segurança.
  • Portas comuns: HTTP 80, HTTPS 443, SSH 22, FTP 21, SMTP 25, DNS 53, POP3 110, IMAP 143, MySQL 3306, PostgreSQL 5432, Redis 6379, MongoDB 27017.

Exemplos

Acessibilidade do servidor web

Host:    example.com
Portas:  80 (HTTP), 443 (HTTPS)
Resultado: ambas abertas, servidor web respondendo
Uso:     confirmar que um site público está acessível pela Internet; uma resposta 200/301 indica que a stack está saudável

Teste de acesso SSH

Host:    server.example.com
Porta:   22 (SSH)
Resultado: aberta, o serviço SSH está aceitando conexões
Uso:     verificar se o bastion ou jump host está acessível antes do login por chave; combine com a verificação de credenciais no lado do cliente SSH

Exposição de porta de banco de dados

Host:    db.example.com
Porta:   3306 (MySQL)
Resultado: fechada, MySQL não está exposto externamente
Uso:     boa postura de segurança; bancos de dados devem ser acessíveis apenas a partir da rede da aplicação, não pela Internet pública

Perguntas frequentes

Como funciona a checagem de porta?

Os navegadores não conseguem abrir sockets TCP arbitrários para hosts remotos, então essa ferramenta dispara a checagem a partir do nosso backend. Tentamos uma conexão TCP (ou um probe HTTP para portas de aplicação como 80/443) e relatamos sucesso, falha e tempo de resposta. Seu IP não é mostrado ao destino - o nosso servidor é.

O que significa 'aberta' vs 'fechada' vs 'filtrada'?

Aberta: a porta aceita conexões. Fechada: o host respondeu com TCP RST (recusa). Filtrada: sem resposta (o firewall descartou o SYN). Apenas 'aberta' significa que um serviço está acessível. Fechada e filtrada significam inacessível, mas por motivos diferentes.

Posso checar portas no meu roteador doméstico?

Sim - informe o seu IP público e o número da porta. Útil para confirmar se um servidor de jogo, NAS ou serviço self-hosted está realmente exposto à internet. Note que provedores residenciais costumam bloquear portas de entrada (25, 80, 443) independentemente do seu firewall.

A checagem funciona para UDP?

Apenas TCP na maioria das builds. UDP é sem conexão; a ausência de resposta não significa necessariamente que está fechada. Para checagens de serviços UDP, você precisa de probes em nível de aplicação (por exemplo, uma consulta DNS na porta 53/udp), que é o que o nmap faz no modo de detecção de serviços.

E quanto a portas de LAN local (192.168.x.x)?

Nosso backend não consegue alcançar a sua LAN privada. Use o comando `nc -zv host porta` em um dispositivo dentro da sua rede ou rode um scanner de portas a partir de outro dispositivo da LAN.

É legal rodar isso em qualquer host?

Escanear portas geralmente é legal em hosts que você possui. Escanear hosts que não são seus pode violar leis de uso indevido de computadores, termos de serviço e políticas de provedor, dependendo da jurisdição. Não use isto para escaneamento oportunista de IPs aleatórios.

Por que a porta 22 / 3389 / 25 sempre aparece como fechada?

Muitos provedores e clouds bloqueiam por padrão portas que costumam ser alvo de ataques. Grupos de segurança de cloud (AWS, Azure, GCP) também bloqueiam por padrão. Se você espera que a porta esteja aberta, verifique o firewall, o NAT/encaminhamento de portas e as regras de grupo de segurança em cada salto.