检测端口扫描

Question

我想通过分析pcap文件来检测是否进行了端口扫描。我不能理解正确的算法。会像是一个源ip映射到不同的IP吗?这会被视为端口扫描吗？如果你能在这方面给我指点，我将不胜感激。我在java中用jnetpcap库做这件事。

Answer 1

首先，我不会在没有防火墙的情况下将我的PC暴露在互联网上，在这种情况下，我没有机会被扫描。

大多数路由器/防火墙可以告诉您它已被端口扫描。

如果要检测端口扫描，则需要在通过多个端口连接的IP地址中查找模式。根据端口扫描仪的不同，模式可能会有所不同。也就是说，扫描仪故意采取措施避免被发现，所以你不能说只有一种简单的模式可以寻找。