防火墙常见日志详细分析

[摘要]防火墙日志分为三行:第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;第二行为TCP...

防火墙日志分为三行:

第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;

第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母;

日志第三行是对数据包的处理方法,对于不符合规则的数据包会拦截或拒绝,对符合规则的但被设为监视的数据包会显示为“继续下一规则”。

1.最常见的报警,尝试用ping来探测本机

分为两种:

如果在防火墙规则里设置了“防止别人用PING命令探测主机”,你的电脑就不会返回给对方这种ICMP包,这样别人就无法用PING命令探测你的电脑,也就以为没你电脑的存在。如果偶尔一两条没什么,但如果显示有N个来自同一IP地址的记录,很有可能是别人用黑客工具探测你主机信息。

[11:13:35] 接收到 210.29.14.136 的 ICMP 数据包,

类型: 8 , 代码: 0,

该包被拦截。

这种情况只是简单的ping命令探测,如:ping 210.29.14.130就会出现如上日志。

[14:00:24] 210.29.14.130 尝试用Ping来探测本机,

该操作被拒绝。

这种情况一般是扫描器探测主机,主要目的是探测远程主机是否连网!但还有一种可能,如果多台不同IP的计算机试图利用Ping的方式来探测本机。如下方式(经过处理了,ip是假设的):

[14:00:24] 210.29.14.45 尝试用Ping来探测本机,

该操作被拒绝。

[14:01:09] 210.29.14.132 尝试用Ping来探测本机,

该操作被拒绝。

[14:01:20] 210.29.14.85 尝试用Ping 来探测本机,

该操作被拒绝。

[14:01:20] 210.29.14.68 尝试用Ping 来探测本机,

该操作被拒绝。

此时就不是人为的原因了,所列机器感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞,一旦发现,即把病毒传播到这些机器上。

2.对于windows xp系统常见的报警

也分两种情况:

[18:58:37] 10.186.210.96试图连接本机的Blazer 5[5000]端口,

TCP标志:S,

该操作被拒绝。

系统因素:Blazer 5[5000]端口是winxp的服务器端口,WindowsXP默认启动的 UPNP服务,没有病毒木马也是打开的,大家看到的报警一般属于这种情况,因为本地或远程主机的5000端口服务异常,导致不断连接5000端口。

木马因素:有些木马也开放此端口,如木马blazer5开放5000端口,木马Sockets de roie开放5000、5001、5321端口等!但我看也没多少人用这种木马!

【编辑推荐】




免责声明:

本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!

[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。