第一次听到s扫描器这个名字,还是我大二刚接触网络安全的时候，那时候泡国内最早的一批安全论坛，跟着老鸟整理的入门工具包攒U盘，我翻遍了整个压缩包，发现这个不到500KB的exe文件，老鸟特意标了星号，备注写着“内网扫端口必备，留着准没错”，那时候我年轻气盛，满眼都是nmap、masscan这些名字响当当的新工具，觉得一个十几年没更新的老工具能有什么用？直到后来进了行业，跟着前辈跑现场做项目，碰到过好几次棘手的场景，才明白老鸟那句话的分量。

很多网安新手听都没听过的老牌工具

s扫描器全称是Speed Scanner，是国内早期安全圈开发者开发的一款高速端口扫描工具，最早的版本推出还是在2000年左右，最后一次更新停在2006年左右，算到今年已经快20年没更新了，别说现在刚入行的00后网安工程师，不少工作三五年的新手，都未必听过这个名字。

但就在2024年上半年,我认识的一位在国内头部安全厂商做应急响应的朋友阿凯，就靠着s扫描器解决了一个大麻烦，今年4月，国家网信办发布了《关于加强中小企业网络安全防护工作的提示》，点名提到近期多家中小制造企业遭遇勒索病毒攻击，大量生产数据被加密，损失惨重，阿凯他们团队接到的需求，就是珠三角一家中型玩具厂的应急排查，这家工厂刚被勒索病毒攻进去，生产线停了大半天，急着找入侵入口。

进了工厂内网才发现,情况比预想的麻烦得多：这家工厂2010年建的厂区，内网还是百兆布线，三百多台设备混在同一个网段里，既有办公电脑、监控摄像头，还有十几台控制生产的工控PLC，整个内网十几年没梳理过资产，原来的IT年纪大退休了，新人根本理不清，一开始阿凯的同事用常用的商用扫描工具扫，刚扫了二十分钟，整个内网带宽就被占满了，生产线上的PLC数据传输开始卡顿，工厂的生产主管急得满头汗，说再卡下去今天的订单就赶不上了，一天损失十几万谁都担不起。

这时候阿凯想起了自己U盘里存了快10年的s扫描器,掏出来拷到运维电脑上，调整了一下并发线程参数，就开始扫，结果不到12分钟，整个网段三百多个IP的端口全部扫完，全程内网延迟没超过100ms，生产线一点没卡，还很快找到了那台开了3389远程桌面、用了弱密码的运维电脑——那就是勒索病毒进来的入口，从那之后，阿凯说他每次去中小企业做现场，U盘里第一个放的工具就是s扫描器。

这不是个例,今年年初国内工控安全厂商安恒信息发布的《2024年中国工控网络安全报告》里提到，国内超过62%的中小制造企业，工控系统还在使用Windows XP、Windows 7这类已经停止官方维护的老系统，近七成的中小企业内网没有做过资产梳理，防护能力几乎为零，这类场景，恰恰就是s扫描器发挥作用的地方。

为什么老网安人至今还把它当备用神器？

很多人会问,现在扫描工具这么多，nmap功能全，masscan速度快，各种集成化的渗透框架都带扫描功能，为什么非要用一个十几年没更的老工具？其实用过的人都知道，s扫描器的几个优势，至今很多新工具都比不了。

第一个优势就是体积小、无依赖，拿上就能用，我见过的s扫描器主程序，加起来不到500KB，比一张普通的微信表情图还小，不用安装，不用配置环境，不用装任何依赖，不管是Windows XP还是Windows 11，双击就能跑，拷在U盘、甚至存在邮箱附件里，拿出来就能用，这一点在隔离内网、现场应急场景太重要了，我之前帮一个朋友的小型创业公司排查网络问题，他们公司是做涉密档案数字化的，所有内网设备都不能连外网，也不能随便装新软件，生怕留下安全隐患，那一次他们要排查有没有漏开的危险端口，我带的好几款图形化扫描工具，要么需要装.NET环境，要么体积太大不让拷进去，最后还是掏出s扫描器，两分钟就扫完了整个网段，顺利找到了两个开了远程桌面的闲置服务器，解决了隐患。

第二个优势就是对老旧系统和窄带宽环境适配极好,不会把网络搞瘫，刚才阿凯遇到的玩具厂场景就是最好的例子，很多新的高速扫描工具，为了追求速度，会发大量的并发包，老旧的百兆内网根本扛不住，一扫描整个网络就瘫痪，对正在运行的生产业务来说，这简直是灾难，而s扫描器本身就是在当年带宽不高、配置不好的电脑环境下开发出来的，对并发控制做的很好，就算调最高速度，也不会像masscan那样直接把带宽占满，你可以根据实际的网络情况调整速度，既快又稳，我自己曾经试过，同样扫一个C段的内网，在百兆老旧内网上，masscan扫到一半整个公司集体断网，我拔了扫描的网线才恢复，后来换s扫描器调了适中的速度，半个多小时扫完，没人发现网络动过。

第三个优势就是它的行为相对低调,不容易被老旧的防火墙误拦截，很多老内网的防火墙还是十几年前的规则，对新工具的扫描特征拦截很严，反而对s扫描器这种老工具没有入库特征，很多时候就能安安静静扫完，不会被拦，当然必须明确一点：我这里说的都是合法的渗透测试和应急响应场景，任何未经授权的非法扫描都是违法行为，这点绝对不能碰。

我个人的感受是,老一辈网安人留下来的工具，都带着那个年代解决问题的思路：不搞花里胡哨的功能，不堆没用的参数，就是把最核心的扫描功能做到极致，够用，好用，解决问题就行，这种思路其实到今天都不过时。

s扫描器为何逐渐淡出了大众视野？

不得不承认,最近这些年s扫描器确实越来越少被人提起，逐渐淡出了很多网安人的工具库，原因其实也很现实。

首先就是工具生态的变化,现在的安全工具越来越集成化、图形化，新人入门就学的是nmap、Xscan、各种集成渗透框架，s扫描器是纯命令行工具，还要自己记参数，没有图形界面，对新人来说门槛比图形化工具高很多，自然没人愿意学，我之前问过几个刚入行的98后网安工程师，有两个说听都没听过s扫描器，还有一个说见过，但是不知道怎么用，觉得不如点几下鼠标就能出结果的图形化工具方便。

其次就是它很早之前就停止更新了,很多新特性不支持，比如现在很多网络都开始转IPv6了，s扫描器只支持IPv4，对IPv6完全没用，这就丢了一大块应用场景，还有对新的端口服务识别，它也不如nmap这种一直在更新的工具，扫出来端口也不知道对应什么服务，还要自己再查，确实麻烦。

还有一个很无奈的原因,就是因为早期很多黑客用s扫描器扫端口、挂马，所以几乎所有杀毒软件都会把s扫描器当成病毒木马直接杀掉，哪怕它就是一个单纯的扫描工具，也会被误杀，很多人刚下完就被杀毒软件删了，自然也就用不了，慢慢也就忘了有这么个工具。

老工具不代表过时，适合的就是最好的

说了这么多,其实我想说的是，不管是工具还是技术，从来都不是越新越好，能解决你当下问题的，就是好工具。

现在整个网安行业都在追新,今天出了新的漏洞，明天出了新的框架，后天AI生成渗透代码火了，所有人都赶着去学新东西，生怕落伍，这本身没错，行业发展快，不学习就会被淘汰，但很多人走偏了，觉得新工具就是比老工具好，老工具都是没用的淘汰货，这种观点我绝对不认同。

我之前参加一个本地的网安沙龙,碰到一个做了十几年等保测评的老师傅，他说他们团队现在出去做项目，每个人的U盘里都必然存一个s扫描器，做等保测评要求不能随便装软件，不能留下多余的痕迹，s扫描器单文件，考完删了都没痕迹，扫内网又快又稳，十几年了从来没出过问题，比几万块一套的商用工具还好用，老师傅说，他见过很多年轻工程师，带一堆花里胡哨的新工具，到了现场碰到老旧内网，工具跑不起来，网络也搞瘫了，还得掏出老工具救场，这就是只会追新不会变通的问题。

其实反过来想,s扫描器能活到现在，被好几代网安人放在U盘里留到现在，本身就说明了它的价值，它就像老一辈工匠兜里磨得发亮的旧改锥，你有很多电动的高级改锥，但是碰到狭窄空间里的小螺丝，还是这把磨得顺手的旧改锥好用。

回到网络安全这个行业本身,本质就是解决问题的，不管你用的是20年前的老工具，还是昨天刚发布的新工具，能帮客户找到问题，解决问题，就是好工具，我们不用抱着老工具不肯换新的，也没必要为了追新把所有好用的老工具都丢进垃圾桶，就像s扫描器，哪怕你一年只用一次，那次它帮你解决了大麻烦，它就有存在的价值。

我前几天整理自己的旧U盘,翻到了当年大学时候攒的那个工具包，里面那个不到500KB的s.exe还好好躺在那里，我没有删掉它，我想未来哪天碰到合适的场景，我还会把它掏出来用，就像很多老网安人做的那样。