日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
防火墻常見日志詳細(xì)分析(1)

防火墻日志分為三行:

第一行反映了數(shù)據(jù)包的發(fā)送、接受時間、發(fā)送者IP地址、對方通訊端口、數(shù)據(jù)包類型、本機(jī)通訊端口等等情況;

第二行為TCP數(shù)據(jù)包的標(biāo)志位,共有六位標(biāo)志位,分別是:URG、ACK、PSH、RST、SYN、FIN,在日志上顯示時只標(biāo)出第一個字母;

日志第三行是對數(shù)據(jù)包的處理方法,對于不符合規(guī)則的數(shù)據(jù)包會攔截或拒絕,對符合規(guī)則的但被設(shè)為監(jiān)視的數(shù)據(jù)包會顯示為“繼續(xù)下一規(guī)則”。

1.最常見的報警,嘗試用ping來探測本機(jī)

分為兩種:

如果在防火墻規(guī)則里設(shè)置了“防止別人用PING命令探測主機(jī)”,你的電腦就不會返回給對方這種ICMP包,這樣別人就無法用PING命令探測你的電腦,也就以為沒你電腦的存在。如果偶爾一兩條沒什么,但如果顯示有N個來自同一IP地址的記錄,很有可能是別人用黑客工具探測你主機(jī)信息。

[11:13:35] 接收到 210.29.14.136 的 ICMP 數(shù)據(jù)包,

類型: 8 , 代碼: 0,

該包被攔截。

這種情況只是簡單的ping命令探測,如:ping 210.29.14.130就會出現(xiàn)如上日志。

[14:00:24] 210.29.14.130 嘗試用Ping來探測本機(jī),

該操作被拒絕。

這種情況一般是掃描器探測主機(jī),主要目的是探測遠(yuǎn)程主機(jī)是否連網(wǎng)!但還有一種可能,如果多臺不同IP的計算機(jī)試圖利用Ping的方式來探測本機(jī)。如下方式(經(jīng)過處理了,ip是假設(shè)的):

[14:00:24] 210.29.14.45 嘗試用Ping來探測本機(jī),

該操作被拒絕。

[14:01:09] 210.29.14.132 嘗試用Ping來探測本機(jī),

該操作被拒絕。

[14:01:20] 210.29.14.85 嘗試用Ping 來探測本機(jī),

該操作被拒絕。

[14:01:20] 210.29.14.68 嘗試用Ping 來探測本機(jī),

該操作被拒絕。

此時就不是人為的原因了,所列機(jī)器感染了沖擊波類病毒。感染了“沖擊波殺手”的機(jī)器會通過Ping網(wǎng)內(nèi)其他機(jī)器的方式來尋找RPC漏洞,一旦發(fā)現(xiàn),即把病毒傳播到這些機(jī)器上。

2.對于windows xp系統(tǒng)常見的報警

也分兩種情況:

[18:58:37] 10.186.210.96試圖連接本機(jī)的Blazer 5[5000]端口,

TCP標(biāo)志:S,

該操作被拒絕。

系統(tǒng)因素:Blazer 5[5000]端口是winxp的服務(wù)器端口,WindowsXP默認(rèn)啟動的 UPNP服務(wù),沒有病毒木馬也是打開的,大家看到的報警一般屬于這種情況,因為本地或遠(yuǎn)程主機(jī)的5000端口服務(wù)異常,導(dǎo)致不斷連接5000端口。

木馬因素:有些木馬也開放此端口,如木馬blazer5開放5000端口,木馬Sockets de roie開放5000、5001、5321端口等!但我看也沒多少人用這種木馬!


本文題目:防火墻常見日志詳細(xì)分析(1)
鏈接地址:http://www.dlmjj.cn/article/djjodpp.html