Existe-t-il une application Linux disponible pour la surveillance de la navigation par port?

Quelque chose qui fonctionnera en arrière-plan et alerte moi sur le courrier si certains IP est un port de numérisation du server.

Le problème avec la "détection" du balayage des ports est qu'un attaquant compétent peut facilement le faire apparaître comme un trafic légitime. Toute personne qui sait comment utiliser –ip-options avec Nmap peut faire apparaître comme un trafic random, n'importe qui avec -D peut le faire apparaissent comme le trafic est venu d'ailleurs, n'importe qui avec des proxies peut le faire venir d'ailleurs, etc. etc. Même si vous pouvez détecter une parsing de port – Que pouvez-vous faire en cas de balayage de port? Les balayages de port sont assez communs pour que les services de locking ne soient pas une option (sinon, vous pouvez aussi les garder fermés). Il va juste vous garder la nuit (et inonder votre courrier électronique) sur un problème.

Même si c'est un peu litigieux, dans mon expérience, les systèmes IDS ne valent pas beaucoup sur le réseau moyen. En tout cas, cela augmente l'espace d'attaque, vous êtes bien mieux d'investir votre time dans les ACL, la security du réseau et HIPS si possible.

Pour ce genre de chose, vous voulez un IDS ( Intrusion Detection System ). Probablement le plus populaire qui fonctionne sur Linux est Snort .

Si vous voulez juste quelque chose juste pour un server, vous pouvez essayer quelque chose comme psad basé sur iptables. Cela peut automatiquement bloquer toute personne exécutant un balayage de port.

portsentry sera l'une des meilleures solutions. Alors qu'un IDS de réseau tel que SNORT sera plus robuste et servira à un but plus important, portsentry est conçu pour prendre une action spécifique aux balayages de port.

Si ce server est sur un réseau accessible au public, comme Internet, vous allez recevoir beaucoup d'alertes.