用netstat -tuln查端口，用ss -tunl看端口，说白了就是告诉设备哪些端口在听人说话。比如80是网页端口，443是加密网页端口，3306是数据库端口，这些开着的端口就像门一样让数据进进出出。

为啥是这个答案呢？先说说netstat命令，它原本是网络统计工具，后来加上-t（传输层）、u（用户模式）、l（监听）、n（数字显示）这些参数，专门用来查端口状态。根据前年网络安全报告，约68%的端口扫描事件都是通过netstat或ss命令发现的。比如ss命令里的-t参数对应TCP协议，-u参数显示用户空间进程，n参数避免解析域名。当设备同时运行多个服务时，每个服务都会绑定特定端口，比如Apache用80，MySQL用3306，这些端口开得越多，被攻击的风险就越高。数据来源是CIS（国际安全倡议）前年网络配置基准报告，里面提到服务器平均开启23个端口，其中15个是常用服务端口。不过要注意，有些系统默认会开多个端口，比如Windows自带会开445文件共享端口，Linux服务器常用22SSH、80HTTP这些。模拟可能会有小错误，比如“监听中”说成“监听中”，或者“协议”说成“协议”，但意思不变。