Windows防火墙日志分析案例

安全 网站安全
本文主要向大家介绍了Windows防火墙日志分析的全过程,希望大家通过以下的步骤能更加认识Windows防火墙的安全

Windows防火墙日志一般分为三行,第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母。那么如何记录防火墙日志呢?以下就是分析过程:

记录被丢弃的连接就可以,不然1T的硬盘估计都装不下这防火墙日志。

打开防火墙日志会看到这样的:

  1. #Version: 1.5  
  2. #Software: Microsoft Windows Firewall  
  3. #Time Format: Local  
  4. #Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path  
  5.  
  6. 2011-05-14 14:45:44 DROP TCP 121.14.11.62 192.168.1.100 80 35106 40 A 3456172238 1370391300 27 – - – RECEIVE  
  7. 2011-05-14 14:45:52 DROP TCP 219.133.60.173 192.168.1.100 443 65124 169 AP 2086682883 794527494 24480 – - – RECEIVE 

前面的2011-05-14 14:45:44就不用说了,当然是日期

DROP 就是丢弃数据包

TCP 以TCP方式连接

121.14.11.62 192.168.1.100 80

这个121.14.11.62是连接者IP 192.168.1.100是本机IP 80是端口

35106 40 A 3456172238 1370391300 27

这些就是对方端口之类的,不用管RECEIVE指入站包,如果是SEND则是你发出去包。

通过分析这些防火墙日志,就可以找出潜在威胁,比如谁尝试连接你的终端端口连接终端是有目的的:

1.无聊分子瞎弄

2.已经成功提权了(或社工)了你的密码,想通过终端进入服务器

Windows防火墙日志分析过程就为大家介绍完了,希望读者已经掌握和理解了,我们还会继续为大家提供相关文章,敬请关注。

【编辑推荐】

  1. Windows组策略保障共享目录安全
  2. Windows 7恶意软件感染率增长30%
  3. 安全设置Windows组策略有效阻止黑客
  4. 用默认设置下的IPv6漏洞攻击Windows系统
  5. 微软发布关键Windows公告 改变可利用系数
责任编辑:佚名 来源: 红黑联盟
相关推荐

2010-09-14 10:46:59

2013-08-29 10:26:27

windows系统防火防火墙

2011-07-01 13:29:41

2011-07-01 11:56:56

2011-07-01 13:28:53

2011-07-01 13:29:23

防火墙

2011-07-01 13:28:13

2009-08-24 08:37:52

Windows 7防火墙

2009-07-03 11:14:57

2009-12-08 17:37:49

Windows 7防火

2010-03-19 16:13:43

2010-12-21 18:04:26

2010-09-26 13:57:19

AlgoSec防火墙分

2011-03-15 17:01:40

2019-08-19 13:15:54

Windows 10防火墙Visual Stud

2009-10-12 15:07:11

2009-06-23 16:57:28

2010-09-14 13:08:52

2010-12-08 09:29:27

下一代防火墙

2021-06-25 18:31:37

云防火墙
点赞
收藏

51CTO技术栈公众号