¿Cómo determinar si alguien está escaneando mi servidor?

¿Su sistema es de acceso público?

• Sí: probablemente alguien lo esté escaneando.

• No: ¿Está escaneando el servidor?

  • Sí: Bueno, acabas de responder tu propia pregunta, ¿verdad?
  • No: probablemente no esté siendo escaneado.
  • No sé: espera ... ¿qué?
• No lo sé: tienes problemas más graves. Y sí, probablemente te estén escaneando.

Versión corta: no hay un comando central / único para verificar esto de forma predeterminada en Linux

... pero puede confiar en varias herramientas, dependiendo del tipo de escaneo que le gustaría encontrar:

• Fail2ban para analizar el archivo de registro (servidor ssh, servidor web, ftp, vpn, etc.) para encontrar cualquier intento de inicio de sesión de fuerza bruta / irregular (y activar algunas reglas de firewall)
• En el nivel de red, puede usar una solución NIPS / NIDS (Sistema de prevención de intrusión de red / Sistema de detección de intrusión de red) como snort . Para la red, también puede usar algunas reglas de iptables para detectar un escaneo en curso ( como este )

Pero, como en todos los juegos de gatos y ratones, hay muchas posibilidades para que el atacante evite las reglas de iptables (reducir la velocidad, escanear puertos aleatoriamente, aumentar la ip de origen, etc.). Una buena manera de manejar esto sería tener un control estricto en los puertos abiertos (control de flujo IN y OUT, acceso restringido, etc.)

Si está ejecutando un servidor web, es posible que también desee configurar un honeypot en su aplicación web y capturar los análisis automatizados. Esto se puede hacer configurando una sección de su sitio, y no lo permita en robots.txt. Cualquier escaneo automático ignorará esto, e intentará escanearlo. Cualquier IP que acceda al área no permitida puede ser incluida en la lista negra usando fail2ban, por ejemplo.