Firewall-Logs kann gesagt werden, dass ein Sammelsurium, das System Informationen aus einer Vielzahl von unsicheren Zeit, Art und so weiter erhalten retten wird. Durch die Analyse dieser Protokolle können Sie eingetreten sind oder derzeit in einem Eindringen in das System gefunden.
Firewall-Protokoll ist nicht kompliziert, aber es muss noch verstehen, um einige grundlegende Konzepte (z. B. Port verstehen, Protokoll, etc.). Obwohl es nicht das Gleiche für jede Firewall-Logs, sondern viel die gleiche Weise in den Akten, einschließlich: Zeit, zu erlauben oder zu sperren (Accept oder Block), Kommunikations-Typ, IP-Quelladresse, Quellport, Zieladresse und Zielport, etc.. Dies wird eine "Sky Net Firewall" log als ein Beispiel sein, lassen Sie uns wissen, wie Firewall-Logs zu analysieren, und dann zu identifizieren Schwachstellen und mögliche Angriffe.
"Skynet Firewall" Alle Unregelmäßigkeiten werden abfangen und aufzeichnen Datenpaket an das Protokoll, wenn Sie überwachen alle TCP-und UDP-Pakete, dann wird jeder von Ihnen das Senden und Empfangen von Datenpaketen wählen aufgezeichnet werden.
1.139 Port Angriff
Abbildung 1 zeigt das Protokoll zeigt: von einem Computer im LAN versucht, Ihren Computer zu 139 Ports zuzugreifen, aber die Operation war nicht erfolgreich.
Abbildung 1
139 ist der Port für die NetBIOS-Protokoll verwendet, installieren Sie das TCP / IP-Protokoll zur gleichen Zeit, auch als NetBIOS die Standardeinstellungen, um das System installiert werden. 139 Ports offen bedeutet, dass die Festplatte im Netzwerk gemeinsam genutzt werden können; online Hacker können auch NetBIOS Computer werden Sie wissen alles!
Tipp: "NetBIOS" ist das Netzwerk Input-Output-System, trotz der aktuellen TCP / IP-Protokoll zum Transport-Protokoll verbreitet werden, sondern um das NetBEUI-Protokoll NetBIOS LAN bieten immer noch weit verbreitet.
Während in der "Sky Net Firewall", der Monitor ist diese versteckte Gefahr nicht genutzt werden. Aber wir können nicht gleichgültig bleiben, sollte versuchen, bis diese Lücke. Für eine Maschine mit dem Internet verbunden, NetBIOS völlig nutzlos, kann es entfernt werden.
So wissen Sie, wie dieser Quelladresse Verhalten? Wenn es ein Remote-Adresse ist, kann es auch andere Software verwendet werden, ist eine Virus-Scan oder Unfug, aber in der Abbildung 1 192.168.30.15X wie Adresse und die Maschine ist im gleichen LAN und die Mannschaft nicht die Software auf den Angriff, nach der die erste Inspektion ergab, dass der Computer in der "Nimda-Virus ist."
2,80 Port Angriff
In der "Sky Net Firewall", vorausgesetzt, Sie erhalten Informationen wie diese, bedeutet dies: In den 18 29 20 Diese Zeit, von der IP-Adresse 61.128.89. × ein Benutzer versucht, an Ihren Computer anschließen , und scannen Sie Ihren Computer nach offenen Ports 80 (dies ist Webdienste Ports zu öffnen).
Wenn Sie von der externen IP hohen Port (größer als 1024) leitete eine ähnliche TCP-Verbindung Anfragen erhalten haben, müssen Sie sich kümmern, ob der andere Computer in den "Code Red" und versucht, Sie zu attackieren (es können Menschen mit Hilfe der Software-Attacken). Da dieses Virus ist nur mit IIS-Service-System übertragen, müssen so normale Benutzer keine Sorgen.
Wenn Sie über Ihre eigenen Web-Server kümmern wird "Code Red" Virus, kann die Firewall auf dem Server installiert werden, und legen Sie Regeln für die Anwendung abzufangen. Wenn es versucht, die Maschine zu anderen Rechnern den Zugriff auf Port 80 gefunden wird, sollten Sie überprüfen, ob ihre Systeme dieses Virus haben.
3, ping Sondieren Angriffen
In der "Sky Net Firewall", das Protokoll wird ein Teil der Benutzer auf dem Computer aufzeichnen weiter in den Log-ping, manchmal wie aus einer Anzahl von Adressen auf dem Rechner ping Angriff (Abbildung 2) manifestierte. Ausgegrenzte Menschen zusätzlich zu den ping, müssen wir die Aufmerksamkeit auf die Quell-Adresse bezahlen können von einer Maschine ähnlich wie "Schock" und andere Viren sind im Spiel. Daher in Bezug auf die Maschine, Pressen Sache ist, Microsoft's "Schock" Patch zu installieren.
Abbildung 2
4, IGMP Angriff
IGMP keine Verwendung für Windows Anwender im Allgemeinen, aber Win9X Betriebssystemkern Mängel gibt es einen IGMP Anfälligkeit der eigenen, so Leute, die diese Lücke nutzen, um einen Host angeben, um eine große Anzahl von IGMP-Pakete schicken würde, so dass Windows-Betriebssystem, Netzwerk-Layer-Zerstörung, führen zu Abstürzen, die im Firewall-Protokoll ebenfalls aufgezeichnet (Abbildung 3) werden. Um mit solchen Situationen am besten, um den Patch auf die IGMP-Paket zu installieren.
Abbildung 3
Manchmal jedoch, wie eine Mahnung erhalten bedeutet nicht zwangsläufig, dass Hacker oder Viren, in einem lokalen Netzwerk, vom Gateway eine ähnliche Pakete erhalten haben, ein weiteres Video Broadcast-Dienste, einige Maschinen der Benutzer zu senden solcher Datenpakete, so seien Sie nicht zu erschrecken.
Besonders zu veranschaulichen, dass nicht alle blockierten Pakete bedeuten jemand gegen dich, und einige normale Pakete, wie Sie die Sicherheitsstufe zu hoch eingestellt ist und nicht mit sicherheitstechnischen Regeln entsprechen, werden abgefangen und Alarm.