Windows防火墙日志一般分为三行,第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母。那么如何记录防火墙日志呢?以下就是分析过程:
记录被丢弃的连接就可以,不然1T的硬盘估计都装不下这防火墙日志。
打开防火墙日志会看到这样的:
- #Version: 1.5
- #Software: Microsoft Windows Firewall
- #Time Format: Local
- #Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
- 2011-05-14 14:45:44 DROP TCP 121.14.11.62 192.168.1.100 80 35106 40 A 3456172238 1370391300 27 – - – RECEIVE
- 2011-05-14 14:45:52 DROP TCP 219.133.60.173 192.168.1.100 443 65124 169 AP 2086682883 794527494 24480 – - – RECEIVE
前面的2011-05-14 14:45:44就不用说了,当然是日期
DROP 就是丢弃数据包
TCP 以TCP方式连接
121.14.11.62 192.168.1.100 80
这个121.14.11.62是连接者IP 192.168.1.100是本机IP 80是端口
35106 40 A 3456172238 1370391300 27
这些就是对方端口之类的,不用管RECEIVE指入站包,如果是SEND则是你发出去包。
通过分析这些防火墙日志,就可以找出潜在威胁,比如谁尝试连接你的终端端口连接终端是有目的的:
1.无聊分子瞎弄
2.已经成功提权了(或社工)了你的密码,想通过终端进入服务器
Windows防火墙日志分析过程就为大家介绍完了,希望读者已经掌握和理解了,我们还会继续为大家提供相关文章,敬请关注。
【编辑推荐】