關于冰盾 | 使用條款 | 網站地圖
 
防火墻常見日志詳細分析
防火墻常見日志詳細分析
作者:冰盾防火墻 網站:www.1604100.live 日期:2014-11-13
 

防火墻日志分為三行:

第一行反映了數據包的發送、接受時間、發送者IP地址、對方通訊端口、數據包類型、本機通訊端口等等情況;

第二行為TCP數據包的標志位,共有六位標志位,分別是:URG、ACK、PSH、RST、SYN、FIN,在日志上顯示時只標出第一個字母;

日志第三行是對數據包的處理方法,對于不符合規則的數據包會攔截或拒絕,對符合規則的但被設為監視的數據包會顯示為“繼續下一規則”。

1.最常見的報警,嘗試用ping來探測本機

分為兩種:

如果在防火墻規則里設置了“防止別人用PING命令探測主機”,你的電腦就不會返回給對方這種ICMP包,這樣別人就無法用PING命令探測你的電腦,也就以為沒你電腦的存在。如果偶爾一兩條沒什么,但如果顯示有N個來自同一IP地址的記錄,很有可能是別人用黑客工具探測你主機信息。

[11:13:35] 接收到 210.29.14.136 的 ICMP 數據包,

類型: 8 , 代碼: 0,

該包被攔截。

這種情況只是簡單的ping命令探測,如:ping 210.29.14.130就會出現如上日志。

[14:00:24] 210.29.14.130 嘗試用Ping來探測本機,

該操作被拒絕。

這種情況一般是掃描器探測主機,主要目的是探測遠程主機是否連網!但還有一種可能,如果多臺不同IP的計算機試圖利用Ping的方式來探測本機。如下方式(經過處理了,ip是假設的):

[14:00:24] 210.29.14.45 嘗試用Ping來探測本機,

該操作被拒絕。

[14:01:09] 210.29.14.132 嘗試用Ping來探測本機,

該操作被拒絕。

[14:01:20] 210.29.14.85 嘗試用Ping 來探測本機,

該操作被拒絕。

[14:01:20] 210.29.14.68 嘗試用Ping 來探測本機,

該操作被拒絕。

此時就不是人為的原因了,所列機器感染了沖擊波類病毒。感染了“沖擊波殺手”的機器會通過Ping網內其他機器的方式來尋找RPC漏洞,一旦發現,即把病毒傳播到這些機器上。

2.對于windows xp系統常見的報警

也分兩種情況:

[18:58:37] 10.186.210.96試圖連接本機的Blazer 5[5000]端口,

TCP標志:S,

該操作被拒絕。

系統因素:Blazer 5[5000]端口是winxp的服務器端口,windows XP默認啟動的 UPNP服務,沒有病毒木馬也是打開的,大家看到的報警一般屬于這種情況,因為本地或遠程主機的5000端口服務異常,導致不斷連接5000端口。

木馬因素:有些木馬也開放此端口,如木馬blazer5開放5000端口,木馬Sockets de roie開放5000、5001、5321端口等!但我看也沒多少人用這種木馬!

3.常見報警之QQ聊天服務器

[19:55:55] 接收到 218.18.95.163 的 UDP 數據包,

本機端口: 1214 ,

對方端口: OICQ Server[8000]

該包被攔截。

[19:55:56] 接收到 202.104.129.254 的 UDP 數據包,

本機端口: 4001 ,

對方端口: OICQ Server[8000]

該包被攔截。

這個防火墻日志是昨天在校園網的“談天說地”上抄下來的,騰訊QQ服務器端開放的就是8000端口.一般是QQ服務器的問題,因為接受不到本地的客戶響應包,而請求不斷連接,還有一種可能就是主機通過QQ服務器轉發消息,但服務器發給對方的請求沒到達,就不斷連接響應了(TCP三次握手出錯了,我是這么認為的,具體沒找到權威資料,可能說的不對,歡迎指正。)

4.共享端口之135,139,445(一般在局域網常見)

又要分幾種情況:

135端口是用來提供RPC通信服務的,445和139端口一樣,是用來提供文件和打印機共享服務的。

[20:01:36] 218.8.124.230試圖連接本機的NetBios-SSN[139]端口,

TCP標志:S,

該操作被拒絕。

[16:47:24] 60.31.133.146試圖連接本機的135端口,

TCP標志:S,

該操作被拒絕。

[16:47:35] 60.31.135.195試圖連接本機的CIFS[445]端口,

TCP標志:S,

該操作被拒絕。

第一種:正常情況,局域網的機器共享和傳輸文件(139端口)。

第二種:連接你的135和445端口的機器本身應該是被動地發數據包,或者也有可能是正常的、非病毒的連接——雖然這個可能性比較小。

第三種:無聊的人掃描ip段,這個也是常見的,初學黑客技術都這樣,十足的狂掃迷,但往往什么也沒得到,這種人應該好好看看TCP/IP協議原理。

第四種:連接135端口的是沖擊波(Worm.Blaster)病毒,“嘗試用Ping來探測本機”也是一種沖擊波情況(internet),這種135端口的探測一般是局域網傳播,現象為同一個ip不斷連接本機135端口,此時遠程主機沒打沖擊波補丁,蠕蟲不斷掃描同一ip段(這個是我自己的觀點,沖擊波的廣域網和局域網傳播方式估計不同吧,歡迎指正!)

第五種:某一IP連續多次連接本機的NetBios-SSN[139]端口,表現為時間間隔短,連接頻繁。

防火墻日志中所列計算機此時感染了“尼姆達病毒”。感染了“尼姆達病毒”的計算機有一個特點,它們會搜尋局域網內一切可用的共享資源,并會將病毒復制到取得完全控制權限的共享文件夾內,以達到病毒傳播之目的。這種人應該同情下,好好殺毒吧!

5.防火墻常見報警之高端端口

可以分下列情況:

第一種:

[7:49:36] 接收到 64.74.133.9 的 UDP 數據包,

本機端口: 33438 ,

對方端口: 10903

該包被攔截。

這種情況一般是游戲開放的服務端口,一般范圍在27910~~27961,因此來自這一端口范圍的UDP包或發送到這一端口范圍的UDP包通常是游戲。愛好游戲的朋友會收到類似的端口連接。比如啟動CS后創建了兩個端口44405和55557。奇跡服務器好象是55960和55962端口。

第二種:

[18:34:16] 接收到 210.29.14.86 的 UDP 數據包,

本機端口: 6884 ,

對方端口: 6881

該包被攔截。

這個是BT服務端口(6881~~6889),每個bt線程占用一個端口,據說只能開9個,但有時候防火墻報警,原因是防火墻過濾了這些端口。開放這些端口或關閉防火墻才能用BT。多說幾句,一些同學反映不能用BT,我給出我自己的分析,因為學校的路由器或交換機限制了這些端口,不能使其BT端口全部打開。

解決方法(可能不怎么管用,參考下):端口映射,換默認端口,開放默認端口!

再給點網上的資料:常用游戲端口

中國游戲中心 TCP 8000

聯眾世界 TCP 2000

網易泡泡 UDP 4001

邊鋒網絡游戲世界 TCP 4000

中國圍棋網 TCP 9696

笨蘋果游戲互動網 UDP 5000

上海熱線游戲頻道 TCP 8000

凱思帝國游戲在線 TCP 2050

防火墻日志解析中對于端口的介紹就總結到這,有興趣的讀者可以繼續關注這方面的內容。

6.常見攻擊之IGMP數據包

[23:11:48] 接收到210.29.14.130的IGMP數據包

該包被攔截

[23:11:48] 接收到210.29.14.130的IGMP數據包

該包被攔截

這是日志中最常見的,也是最普遍的攻擊形式。IGMP(Internet Group Management Protocol)是用于組播的一種協議,實際上是對Windows的用戶是沒什么用途的,但由于Windows中存在IGMP漏洞,當向安裝有windows 9X操作系統的機子發送長度和數量較大的IGMP數據包時,會導致系統TCP/IP棧崩潰,系統直接藍屏或死機,這就是所謂的IGMP攻擊。在標志中表現為大量來自同一IP的IGMP數據包。一般在自定義IP規則里已經設定了該規則,只要選中就可以了。

碰到這種情況可以分兩種:一種是你得罪他了,和你有仇;另一種就是攻擊者吃飽了撐的或是一個破壞狂!

7.常見端口的日志記錄

沒什么影響:

[12:37:57] 192.168.177.16試圖連接本機的FTP Open Server 端口,

TCP標志:S,

該操作被拒絕。

這個也分兩種,一種是有人想探測你的主機是不是開放了21端口,想看看共享資源;另一種是用掃描器掃ip段的ftp服務端口,一般沒什么惡意。

[23:08:34] 221.208.47.102試圖連接本機的Wingate[1080]端口,

TCP標志:S,

該操作被拒絕。

這個是有人掃描ip段中的代理服務器,一般代理服務器默認端口常見的如Wingate[1080],ccproxy[808,1080]等等,也沒什么關系。

[12:37:57] 192.168.177.16試圖連接本機的試圖連接本機的http[80]端口,

TCP標志:S,

該操作被拒絕。

日志分析先到此為止,一般上網的用戶都有這種情況,網站服務器的回顯等等啊,出現一兩個這樣的報警沒關系的??赡苓€有一些常見的端口,噢,個人能力有限啊,想起來再整理吧!

8.真正想入侵你機器的日志(值得注意):

[11:13:55] 219.130.135.151試圖連接本機的3389端口,

TCP標志:S,

該操作被拒絕。

這種人應該引起高度重視,3389這么恐怖的事情都來,還記得2000系統的3389輸入法漏洞嗎,當年菜鳥的最愛。

[11:13:55] 210.29.14.130試圖連接本機的1433端口,

TCP標志:S,

該操作被拒絕。

[11:13:55] 210.29.14.130試圖連接本機的23端口,

TCP標志:S,

該操作被拒絕。

[11:13:55] 210.29.14.130試圖連接本機的4899端口,

TCP標志:S,

該操作被拒絕。

不多說了,都是黑客們的最愛,如果想知道具體的就去網Down吧!

9.洪水攻擊SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻擊。

因為條件的限制,我沒有模擬,大概日志應該如下:

[11:13:55] 接收到210.29.14.130的SYN Flood攻擊,

該操作被拒絕。

遇到這種情況,人品就要考慮下了!關于如何防范,還有別的事,不想長篇大論了!網上資料也很多的~~~

10.木馬端口的掃描日志

這次我列具體點,現在木馬泛濫:

[11:13:55] 210.29.14.130試圖連接本機的木馬冰河[7626]端口,

TCP標志:S,

該操作被拒絕。

(冰河木馬的端口,呵呵,黑迷們的最愛啊)

[11:13:55] 210.29.14.130試圖連接本機6267端口,

TCP標志:S,

該操作被拒絕。

(注:廣外女生木馬的默認端口,很經典的一個國產木馬。)

[11:13:55] 210.29.14.130試圖連接本機5328端口,

TCP標志:S,

該操作被拒絕。

(注:風雪木馬的默認端口)

 

 
最新內容:
SOA與Web服務技術安全[2014-11-13]
靈活設置Windows Server 2008應對系統管理謎局[2014-11-13]
選擇DDoS流量清洗解決方案七大誤區[2014-11-13]
下一代防火墻:從概念回歸本質[2014-11-13]
從技術層面分析防火墻的分類[2014-11-13]
輕松五招 解決虛擬服務器安全困擾[2014-11-13]
相關內容:
时时彩连挂赚钱 十分快三大小单双视频教学 股票行情今天查询大 四川快乐12今天开奖结 浙江体育彩票6 1开奖结果 河北福彩排列7走势图 三分pk10全天开奖结果 同花顺手机炒股软件怎 极速赛车计划百分百 山东11选5走势图彩 河北11选5玩法

合作伙伴: 黑基網 補天科技 威盾科技 站長下載 新飛金信 北京電信 ZOL應用下載
中華人民共和國增值電信業務經營許可證京ICP備14024464 公安備案號 京1081234 
版權所有©2003-2014 冰盾防火墻  www.1604100.live 法律聲明
總機:(010)51661195
十分快三大小单双视频教学 股票行情今天查询大 四川快乐12今天开奖结 浙江体育彩票6 1开奖结果 河北福彩排列7走势图 三分pk10全天开奖结果 同花顺手机炒股软件怎 极速赛车计划百分百 山东11选5走势图彩 河北11选5玩法