今天思考了一下port scan的問題
除了之前使用psad外
是否有更有效的方法來處理
找到了snort原來就有這個功能
只是default是關的
要在snort.conf打開
範例如下


# Portscan detection.  For more information, see README.sfportscan
preprocessor sfportscan: proto  { all } memcap { 10000000 } sense_level { high } logfile { /var/log/snort/portscan.log } ignore_scanners { 192.168.0.0/16,  10.0.0.0/8 } ignore_scanned { 192.168.0.0/16 }

詳細的config設定參考以下連結
http://manual.snort.org/node78.html

一樣目前打算跟LP共同運作