某些程序会在后台运行,如果某个 IP 正在对服务器进行端口扫描,则会通过邮件提醒我。
答案1
“检测”端口扫描的问题在于,有能力的攻击者可以很容易地使其看起来像合法流量,任何知道如何使用 Nmap 的 --ip-options 的人都可以使其看起来像随机流量,任何使用 -D 的人都可以使其看起来像流量来自其他地方,任何使用代理的人都可以使其来自其他地方,等等。即使您可以检测到端口扫描 - 如果发生端口扫描,您能做什么?端口扫描很常见,锁定服务不是一种选择(否则您不妨将它们关闭)。它只会让您彻夜难眠(并让您的电子邮件泛滥成灾),而这根本不是问题。
尽管这有点争议,但根据我的经验,IDS 系统对普通网络来说并不值一提。如果真要说有什么作用的话,那就是它增加了攻击空间,如果可能的话,你最好把时间投入到 ACL、网络安全和 HIPS 上。
答案2
答案3
portsentry 将是最好的解决方案之一。虽然 SNORT 等网络 IDS 更加强大,用途也更广泛,但 portsentry 的设计初衷是针对端口扫描采取特定措施。
如果该服务器位于可公开访问的网络上,例如互联网,您将收到大量警报。