防火墙常见日志详细分析(1)

安全 网站安全
本文主要向大家介绍的是防火墙日志的分析的相关内容,希望大家可以从以下的文章中得到自己需要的知识。

防火墙日志分为三行:

第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;

第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母;

日志第三行是对数据包的处理方法,对于不符合规则的数据包会拦截或拒绝,对符合规则的但被设为监视的数据包会显示为“继续下一规则”。

1.最常见的报警,尝试用ping来探测本机

分为两种:

如果在防火墙规则里设置了“防止别人用PING命令探测主机”,你的电脑就不会返回给对方这种ICMP包,这样别人就无法用PING命令探测你的电脑,也就以为没你电脑的存在。如果偶尔一两条没什么,但如果显示有N个来自同一IP地址的记录,很有可能是别人用黑客工具探测你主机信息。

[11:13:35] 接收到 210.29.14.136 的 ICMP 数据包,

类型: 8 , 代码: 0,

该包被拦截。

这种情况只是简单的ping命令探测,如:ping 210.29.14.130就会出现如上日志。

[14:00:24] 210.29.14.130 尝试用Ping来探测本机,

该操作被拒绝。

这种情况一般是扫描器探测主机,主要目的是探测远程主机是否连网!但还有一种可能,如果多台不同IP的计算机试图利用Ping的方式来探测本机。如下方式(经过处理了,ip是假设的):

[14:00:24] 210.29.14.45 尝试用Ping来探测本机,

该操作被拒绝。

[14:01:09] 210.29.14.132 尝试用Ping来探测本机,

该操作被拒绝。

[14:01:20] 210.29.14.85 尝试用Ping 来探测本机,

该操作被拒绝。

[14:01:20] 210.29.14.68 尝试用Ping 来探测本机,

该操作被拒绝。

此时就不是人为的原因了,所列机器感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞,一旦发现,即把病毒传播到这些机器上。

2.对于windows xp系统常见的报警

也分两种情况:

[18:58:37] 10.186.210.96试图连接本机的Blazer 5[5000]端口,

TCP标志:S,

该操作被拒绝。

系统因素:Blazer 5[5000]端口是winxp的服务器端口,WindowsXP默认启动的 UPNP服务,没有病毒木马也是打开的,大家看到的报警一般属于这种情况,因为本地或远程主机的5000端口服务异常,导致不断连接5000端口。

木马因素:有些木马也开放此端口,如木马blazer5开放5000端口,木马Sockets de roie开放5000、5001、5321端口等!但我看也没多少人用这种木马!

【编辑推荐】

  1. 防火墙常见日志详细分析(2)
  2. 防火墙常见日志详细分析(3)
  3. 防火墙常见日志详细分析(4)
  4. 防火墙常见日志详细分析(5)

 

 

责任编辑:佚名 来源: CSDN
相关推荐

2011-07-01 13:28:53

2011-07-01 13:29:41

2011-07-01 11:56:56

2011-07-01 13:29:23

防火墙

2009-11-18 16:24:35

P-Link路由器

2009-12-25 13:37:42

2009-09-25 14:23:39

2009-09-28 10:39:01

Hibernate基础

2011-07-01 11:20:19

2009-09-14 13:50:35

LINQ编程模型

2009-11-20 13:11:44

Oracle XML数

2009-09-08 15:56:50

Linq使用Group

2010-01-06 13:50:37

.NET Framew

2009-09-14 16:21:34

LINQ To XML

2009-09-09 09:48:43

Linq延迟加载

2009-06-18 14:00:51

2009-10-10 13:52:57

VB Update方法

2009-03-24 09:17:58

驱动GSMAndroid

2009-09-07 14:18:01

C#内存管理

2009-12-03 17:41:40

PHP应用发展
点赞
收藏

51CTO技术栈公众号