是否有可用于端口扫描监控的 Linux 应用程序？

“检测”端口扫描的问题在于，有能力的攻击者可以很容易地使其看起来像合法流量，任何知道如何使用 Nmap 的 --ip-options 的人都可以使其看起来像随机流量，任何使用 -D 的人都可以使其看起来像流量来自其他地方，任何使用代理的人都可以使其来自其他地方，等等。即使您可以检测到端口扫描 - 如果发生端口扫描，您能做什么？端口扫描很常见，锁定服务不是一种选择（否则您不妨将它们关闭）。它只会让您彻夜难眠（并让您的电子邮件泛滥成灾），而这根本不是问题。

尽管这有点争议，但根据我的经验，IDS 系统对普通网络来说并不值一提。如果真要说有什么作用的话，那就是它增加了攻击空间，如果可能的话，你最好把时间投入到 ACL、网络安全和 HIPS 上。

对于这种事情，你需要一个IDS（入侵侦测系统）在 Linux 上运行的最流行的可能是呼噜。

如果你只是想要一个只适用于一台服务器的东西你可以尝试类似普萨德它基于 iptables。它可以自动阻止任何运行端口扫描的人。

portsentry 将是最好的解决方案之一。虽然 SNORT 等网络 IDS 更加强大，用途也更广泛，但 portsentry 的设计初衷是针对端口扫描采取特定措施。

如果该服务器位于可公开访问的网络上，例如互联网，您将收到大量警报。