Existe algum aplicativo Linux disponível para monitoramento de varredura de portas?

O problema de "detectar" a varredura de porta é que um invasor competente pode facilmente fazer com que pareça um tráfego legítimo. Qualquer pessoa que saiba como usar as opções --ip com o Nmap pode parecer um tráfego aleatório, qualquer um com -D pode fazer parecer que o tráfego veio de algum outro lugar, qualquer um com proxies pode fazê-lo vir de outro lugar, etc etc. Mesmo se você puder detectar uma varredura de porta - O que você pode fazer no caso de uma varredura de portas? Varreduras de portas são comuns o suficiente para que o bloqueio de serviços não seja uma opção (caso contrário, você também pode mantê-los fechados). Ele só vai mantê-lo acordado durante a noite (e inundar o seu e-mail) sobre um problema que não está ocorrendo.

Embora seja um pouco contencioso, na minha experiência, os sistemas de IDS não valem muito para a rede média. Se alguma coisa, aumenta o espaço de ataque, você é muito melhor investir seu tempo em ACLs, segurança de rede e HIPS, se possível.

Para esse tipo de coisa, você quer um IDS ( Sistema de Detecção de Intrusos ). Provavelmente, o mais popular executado no Linux é Snort .

Se você quer apenas algo apenas para um servidor, você pode tentar algo como psad que é baseado no iptables. Isso pode bloquear automaticamente qualquer pessoa que esteja executando uma varredura de porta.

O portsentry será uma das melhores soluções. Embora um IDS de rede, como o SNORT, seja mais robusto e tenha um propósito maior, o portsentry foi desenvolvido para executar uma ação específica para verificações de porta.

Se esse servidor estiver em uma rede acessível publicamente, como a Internet, você receberá muitos alertas.