psad ist ein Einbruchserkennungssystem, das iptables-Logmeldungen verwendet, um Port-Scans und anderen verdächtigen Traffic zu erkennen und optional zu blockieren. Für TCP-Scans analysiert psad die TCP-Flags, um den Scan-Typ zu erkennen, und die zugehörigen Kommandozeilenoptionen, mit denen man mit nmap einen solchen Scan starten könnnte. Dazu nutzt psad viele TCP-, UDP- und ICMP-Signaturen aus Snort, um anderen verdächtigen Netzwerk-Traffic zu erkennen. (non)