Você executa um servidor FTP? Se assim for, o "portscan" poderia muito bem ter sido apenas uma sessão de FTP ocupada no "modo ativo" (o que faz com que o servidor faça conexões TCP com portas selecionadas pelo cliente). Embora o FTP tenha sido amplamente utilizado, essa foi provavelmente a causa mais comum de detecções falsas do portscan.
Se não, por favor expanda sua pergunta e inclua alguns detalhes do portscan. Por exemplo, quais portas de destino foram testadas? As tentativas de conexão foram bem sucedidas?
Além disso, se você fornecer acesso à Internet para outras máquinas, o portscan (se fosse um portscan real) pode ter se originado em um desses.
Em vez de (ou além de) usar o tcpdump, recomendo executar um coletor de netflow (como nfdump
) na interface interna (aquele que está voltado para os computadores para os quais você fornece conectividade com a Internet). Os dados do NetFlow são muito mais sucintos que um arquivo tcpdump pcap, facilitando a localização de portscans.