Короткий ответ на мой вопрос: ДА.
В Snort есть модуль, который я только что нашел, с именем sfportscan , в котором есть много опций, таких как:память для сохранения пакетов и тема анализа с указанием времени ожидания и количества подключений.
Чтобы включить sfportscan , необходимо
1 - добавить это к snort.cont обычно в / etc / snort / :
preprocessor sfportscan: proto { all } \
scan_type { all } \
sense_level { high } \
logfile { alert }
Он будет искать все протоколы и все типы сканирования, такие как SYN, Null, ..и зарегистрируйте их в каталоге журналов в файле alert (alert является фактическим именем файла), о котором мы упоминали в опции logfile .Пробелы после и перед скобками важны, анализатор snort выдает ошибку без них.
2 - Запустите snort -c "/etc/snort/snort.conf" -T, чтобы убедиться, что все настройки Okey.
3 - Запустите /etc/init.d/snort stop и /etc/init.d/snort start с некоторой задержкой, чтобы перезапустить Snort.
4 - Откройте файл предупреждений, чтобы просмотреть предупреждения:
tail -f [Address to log Directory]/alert
5 - Проверьте, создает ли он журнал с помощью NMAP , откройте другой терминал на другом компьютере и:
sudo nmap [Your Firewall or NIDS IP Address]
6 - Вы должны увидеть что-то подобное в хвостовом файле:
Time: 02/23-12:54:21.183932
event_ref: 0
[Source ip address] -> [Destination ip address] (portscan) TCP Portscan
Priority Count: 9
Connection Count: 10
IP Count: 1
Scanner IP Range: [Destination ip address]:[Destination ip address]
Port/Proto Count: 10
Port/Proto Range: 981:12174
Мое примечание: Snort - отличный IDS, он используется во многих бесплатных и даже коммерческих продуктах, но он имеетплохая документация и примеры, а также представления на YouTube, было бы здорово, если бы его сообщество приняло большее участие в Stackoverflow , вопросах.