檢測 nmap 掃描的最有效方法是什麼？

我有興趣檢測針對（我的）GNU/Linux 主機的任何 nmap 掃描。為此，我想將 snort 與 barnyard2 和 snorby 結合使用，或者如果可能的話，對 snort Unified2 日誌執行基於簽名的檢測。我注意到在執行 nmap -A 掃描時會彈出與以下類似的數據包：

[    0] 00 00 FF FF 00 00 00 00 00 00 00 00 00 00 08 00  ................
[   16] 45 00 00 A2 5C 63 40 00 78 FF 39 03 B9 1E A6 45  E...\c@.x.9....E
[   32] 05 27 08 D3 50 72 69 6F 72 69 74 79 20 43 6F 75  .'..Priority Cou
[   48] 6E 74 3A 20 39 0A 43 6F 6E 6E 65 63 74 69 6F 6E  nt: 9.Connection
[   64] 20 43 6F 75 6E 74 3A 20 38 0A 49 50 20 43 6F 75   Count: 8.IP Cou
[   80] 6E 74 3A 20 32 0A 53 63 61 6E 6E 65 72 20 49 50  nt: 2.Scanner IP
[   96] 20 52 61 6E 67 65 3A 20 38 34 2E 32 34 32 2E 37   Range: 84.242.7
[  112] 36 2E 36 36 3A 31 38 35 2E 33 30 2E 31 36 36 2E  6.66:185.30.166.
[  128] 36 39 0A 50 6F 72 74 2F 50 72 6F 74 6F 20 43 6F  69.Port/Proto Co
[  144] 75 6E 74 3A 20 31 30 0A 50 6F 72 74 2F 50 72 6F  unt: 10.Port/Pro
[  160] 74 6F                                            to

上面的包是什麼？僅與nmap有關嗎？（我高度懷疑）

不幸的是，使用 sfPortscan 配置的 snort 並不像我希望的那樣有效和/或準確（檢測到掃描但由於某種原因我看不到有關它的詳細資訊，例如源/目標 :: http://i .imgur.com/sPCS13b.png , http://i.imgur.com/9BGkkQv.png . 我的 iptables 配置了 –hitcount 和 –seconds 這使得 “stream5: Reset outside window” 彈出，因此我可以檢測幾次掃描。）。

我在這裡有什麼選擇？

您是否查看過新興威脅規則集？具體是他們的掃描規則？

您永遠不會以 100% 的準確度檢測檢測掃描。一般來說，門檻值化是有用的。在大型網路上的邊界防火牆上，我查看例如某個遠端主機在特定時期內聯繫的不同主機的數量。在單個主機上，在給定時間段內該主機上不同埠的數量。在 iptables 方面，一個不錯的選擇是記錄 DROPed 數據包。你也可以在 snort 中做到這一點。基本思想只是監視一些您沒有打開的埠。根據定義，這些埠上的聯繫是不請自來的。（好吧，這偏離了僅檢測 nmap 掃描的目標……）

引用自：https://unix.stackexchange.com/questions/166734