「検出」ポートスキャンの問題は、有能な攻撃者がそれを正当なトラフィックのように簡単に見せることができることです。Nmapで--ip-optionsを使用する方法を知っている人なら誰でも、ランダムに見せることができます。トラフィック、-Dを持っている人は誰でも、トラフィックがどこかから来たように見せることができます。プロキシを持っている人は、どこかから来たように見せることができます。ポートスキャンを検出できたとしても-ポートスキャン?ポートスキャンは十分に一般的であるため、サービスをロックダウンすることはできません(それ以外の場合は、サービスを閉じたままにしておくことをお勧めします)。 。
多少論争がありますが、私の経験では、IDSシステムは平均的なネットワークにとってそれほど価値がありません。どちらかといえば、攻撃スペースが増加します。可能であれば、ACL、ネットワークセキュリティ、HIPSに時間を費やしたほうがはるかに良いでしょう。
portsentryは最良のソリューションの1つになります。 SNORTなどのネットワークIDSはより堅牢で、より大きな目的を果たしますが、portsentryは、ポートスキャンに固有のアクションを実行するように設計されています。
このサーバーがインターネットなどの公的にアクセス可能なネットワーク上にある場合、多くのアラートを受信することになります。