“检测”端口扫描的问题在于,有能力的攻击者可以轻松地使其看起来像合法流量.任何知道如何使用–ip-options和Nmap的人都可以使其看起来像随机流量,任何拥有-D的人都可以使用它看起来流量来自其他地方,任何有代理的人都可以让它来自其他地方等等.即使你能检测到端口扫描 – 在端口扫描的情况下你能做什么？端口扫描很常见,锁定服务不是一种选择(否则你可能只是让它们关闭).它只是让你在晚上(并充斥你的电子邮件)让你在非问题上.

虽然它有点引起争议,但根据我的经验,IDS系统对普通网络来说并不值得.如果有的话,它会增加攻击空间,如果可能的话,你最好把时间投入到ACL,网络安全和HIPS中.