一些会在后台运行,并通过邮件提醒我,如果某些IP端口扫描服务器。
“检测”端口扫描的问题是,一个合格的攻击者可以很容易地使它看起来像合法的stream量。任何知道如何使用带有Nmap的-ip选项的人可以使它看起来像随机的stream量,任何有-D的人都可以使它似乎来自其他地方的stream量,任何带有代理的人都可以从其他地方来,等等。即使你能检测到端口扫描 – 在端口扫描的情况下你能做什么? 端口扫描是很普遍的,locking服务不是一个选项(否则,你可能只是保持closures)。 它只是让你在晚上(和洪水您的电子邮件)在一个非问题。
虽然有些争议,但根据我的经验,IDS系统对于普通networking来说并不值钱。 如果有的话,它会增加攻击空间,如果可能的话,将自己的时间投入到ACL,networking安全和HIPS中要好得多。
对于这样的事情你想要一个IDS( 入侵检测系统 )。 在Linux上运行最stream行的可能是Snort 。
如果你只是想要一个服务器的东西,你可以尝试一些基于iptables的psad 。 这可以自动阻止任何人运行端口扫描。
portsentry将是最好的解决scheme之一。 尽pipe像SNORT这样的networkingIDS将会更加健壮并且有更大的用途,但是portsentry被devise为采取特定于端口扫描的操作。
如果此服务器位于可公开访问的networking(如Internet)上,您将收到很多警报。