Что-то, что будет работать в фоновом режиме и предупреждать меня по почте, если какой-то IP-адрес сканирует порт сервера.
Проблема с 'обнаружением' сканирования портов заключается в том, что компетентный злоумышленник может легко сделать его похожим на законный трафик. Любой, кто знает, как использовать --ip-options с Nmap, может сделать его похожим на случайный трафик, любой с -D может сделать это. кажется, что трафик пришел откуда-то еще, любой, у кого есть прокси, МОЖЕТ заставить его прийти откуда-то еще и т. д. и т. д. Даже если вы можете обнаружить сканирование портов - что вы можете сделать в случае сканирования портов? Сканирование портов достаточно распространено, поэтому блокировка служб невозможна (в противном случае вы можете просто закрыть их). Это просто не даст вам уснуть по ночам (и переполнит вашу электронную почту) из-за того, что не проблема.
Хотя его несколько спорных, по моему опыту IDS система не стоит много в среднем сети. Во всяком случае, это увеличивает пространство для атаки. Вам гораздо лучше потратить свое время на ACL, сетевую безопасность и HIPS, если это возможно.
Для такого рода вещей вам нужна IDS (Система обнаружения вторжений). Наверное, самый популярный из тех, что работают в Linux, - Фырканье.
Если вам просто нужно что-то только для одного сервера, вы можете попробовать что-то вроде psad это основано на iptables. Это может автоматически заблокировать любого, кто выполняет сканирование портов.
Портсентры будут одним из лучших решений. В то время как сетевая IDS, такая как SNORT, будет более надежной и будет служить более важной цели, portsentry предназначен для выполнения действий, специфичных для сканирования портов.
Если этот сервер находится в общедоступной сети, такой как Интернет, вы получите много предупреждений.