В зависимости от того какие порты и общее количество компьютеров, а также количество подобных сканов если юзер просканит свыше сотни хостов (не считая вирусной активности) - то с вероятностью в 99 процентов - кульхацкир
А я вот недавно такое словил:
Aug 07 18:20:17.710973 rule 0/0(match): block in on tun0:
221.192.43.178.2073 > 213.158.10.228.1023: S [tcp sum ok]
3481546237:3481546237(0) win 64800 <mss 1440,nop,nop,sackOK> (DF)
(ttl 106, id 22308)
Aug 07 18:20:17.714834 rule 0/0(match): block in on tun0:
221.192.43.178.2073 > 213.158.10.228.1023: R [tcp sum ok]
3481546237:3481546237(0) win 64800 (DF) [tos 0xd (C)] (ttl 107,
id 31948)
Aug 07 18:20:18.368259 rule 0/0(match): block in on tun0:
221.192.43.178.2073 > 213.158.10.228.1023: S [tcp sum ok]
3481546237:3481546237(0) win 64800 <mss 1440,nop,nop,sackOK> (DF)
(ttl 106, id 22727)
Aug 07 18:20:18.372121 rule 0/0(match): block in on tun0:
221.192.43.178.2073 > 213.158.10.228.1023: R [tcp sum ok]
3481546237:3481546237(0) win 64800 (DF) [tos 0xd (C)] (ttl 107,
id 43730)
Клево, да? А это на PPP. Серчат на предмет веб сервера, squid-cache,
ftp, swat (samba) и конечно же 135-139 порты ;))
Читайте книжки господа и конфигурите файерволы на block all, а
потом уж разрешайте все, что Вам надо (только дважды подумайте)...