Salut à tous,
 
Je suis sous DEbian.
JE cherche un outils qui me permettrait de détecter les scans de ports sur ma machine (qui a une IP publique).
 
Avant d'installer SNORT, je voudrais savoir si vous connaissez des outils dédiés ?
 
Merci

snort est un outil dédié

Snort est un IDS: il ne fait pas que la détection de scan de ports.
 
Il y a des outils dédiés à la détection des scans de ports: scanlogd, portsentry, psad...
 
Installer SNORT pour ça, c'est utiliser un tank pour tuer une mouche.
 
Ce qui est intéressant c'est d'avoir le retour de ceux qui ont utilisé certains des outils pré-cités.

j'utilise psad : excellent :
 
http://freshmeat.net/redir/psad/14 [...] erdyne.org
 
About:
The Port Scan Attack Detector (psad) is a collection of three system daemons that are designed to work with the Linux iptables firewalling code to detect port scans and other suspect traffic. It features a set of highly configurable danger thresholds (with sensible defaults), verbose alert messages, email alerting, DShield reporting, and automatic blocking of offending IP addresses. Psad incorporates many of the packet signatures included in Snort to detect various kinds of suspicious scans, and implements the same passive OS fingerprinting algorithm used by p0f.
 

Cool, merci pour l'info.
 
c'est vers celui-là que je me dirigeais.
Il faut activer les logs des paquets droppés sur le parefeu d'après ce que j'ai lu.
 
Tu as le retour de psad via un email à ROOT j'imagine ?

on evoie pas de mail à root, les mail de psad sont redirigé soit en configurant psad, soit en configurant ton mta

Bonjour,
 
Je ne sais pas si cela est fesable sur iptable, mais chez moi j'utilise simplement un return-RST ou un icmp unreach (sur du PF) sur tt les port hormis ceux utiliser