I log dei firewall può dire che un guazzabuglio, che salvare le informazioni sistema ha ricevuto da una varietà di tempo a rischio, tipo e così via. Analizzando questi registri, è possibile si sono verificati o sono stati trovati in una intrusione del sistema.
registro di Firewall non è complicato, ma deve ancora capire a capire alcuni concetti di base (come il porto, protocollo, ecc.) Sebbene non sia lo stesso per tutti i log dei firewall, ma allo stesso modo nel record, tra cui: il tempo, per consentire o bloccare (accettare o bloccare), il tipo di comunicazione, indirizzo IP sorgente, porta sorgente, indirizzo di destinazione e porta di destinazione, ecc. Questo sarà un "log" Sky Net Firewall come esempio, facci sapere come analizzare i log dei firewall, e quindi identificare le vulnerabilità e possibili attacchi.
"Firewall Skynet" Tutte le irregolarità saranno intercettare e registrare il pacchetto di dati al registro, se si sceglie di monitorare tutti i pacchetti TCP e UDP, allora ciascuno di voi di inviare e ricevere pacchetti di dati saranno registrati.
1.139 porto attacco
La Figura 1 mostra il registro di mostra: da un computer all'interno della rete LAN sta tentando di accedere al computer di 139 porte, ma l'operazione non ebbe successo.
Figura 1
Porta 139 è il protocollo NetBIOS utilizzato dal porto, installare il protocollo TCP / IP allo stesso tempo, NetBIOS sarà installato come le impostazioni predefinite per il sistema. 139 porte aperte significa che il disco rigido può essere condiviso in rete; hacker online può essere anche di computer NetBIOS conoscere tutti voi!
Suggerimento: "NetBIOS" è il sistema di rete di input-output, nonostante l'attuale protocollo TCP / IP per diventare protocollo di trasporto usato, ma per fornire il protocollo NetBEUI NetBIOS LAN è ancora ampiamente utilizzato.
Mentre nella "Sky Net Firewall", il monitor, questo pericolo nascosto non viene utilizzato. Ma non possiamo restare indifferenti, dovremmo cercare di compensare questa lacuna. Per una macchina collegata ad Internet, NetBIOS completamente inutile, può essere rimosso.
Quindi, come fai a sapere questa fonte indirizzo di comportamento? Se è un indirizzo remoto, ci possono essere altri software in uso sia una scansione antivirus o male, ma nella figura 1 192.168.30.15X come l'indirizzo e la macchina è nella stessa LAN e l'equipaggio non ha utilizzato il software in attacco, dopo la prima ispezione ha rilevato che il computer è in "virus Nimda".
2,80 porta attacco
Nel "Sky Net Firewall", a patto di ricevere informazioni come questa, significa: In questo 18 29 20 tempo, da l'indirizzo IP del 61.128.89. × × un utente tenta di connettersi al computer , e la scansione del computer per aprire la porta 80 (questo è i servizi Web per aprire porte).
Se avete ricevuto dal porto esterno IP elevato (superiore a 1024) ha avviato un analogo richieste di connessione TCP, si deve la cura se il computer di altri nel "Code Red" e hanno cercato di attaccare voi (ci possono essere persone che usano gli attacchi software). Poiché questo virus è trasmessa solo con sistema di servizio IIS, quindi gli utenti normali non devono preoccuparsi.
Se ti preoccupare proprio server Web è "attacco virus Code Red, il firewall può essere installato sul server, e di fissare norme per l'applicazione di intercettare. Se è trovato la macchina tentando di accedere altri host sulla porta 80, si dovrebbe verificare se i loro sistemi hanno questo virus.
3, ping sondaggio attacchi
Nel "Sky Net Firewall", il registro registrerà alcuni degli utenti sulla macchina ha continuato a eseguire il ping del registro, a volte si manifesta, da una serie di indirizzi in attacco ping macchina (Figura 2). persone escluse, oltre al ping, dobbiamo prestare attenzione alla fonte di indirizzo può essere da una macchina simile a "shock" e altri virus sono in gioco. Quindi, in termini della macchina, cosa urgente è quello di installare Microsoft "" shock patch.
Figura 2
4, attacco IGMP
IGMP inutile per gli utenti Windows generale, ma Win9X difetti kernel del sistema operativo, vi è una vulnerabilità di IGMP propria, così la gente che avrebbe usato questa scappatoia di specificare un host per inviare un gran numero di pacchetti IGMP, in modo che il sistema operativo Windows, la distruzione livello di rete, portare a crash, che nel registro di firewall anche essere registrato (Figura 3). Per far fronte a tali situazioni è meglio installare la patch sul pacchetto IGMP.
Figura 3
A volte, tuttavia, ha ricevuto un tale sollecito non significa necessariamente che gli hacker o attacchi di virus, in una rete locale avrà ricevuto dal gateway di un pacchetto simile, un altro servizi di trasmissione video, alcune macchine l'utente di inviare tali pacchetti di dati, in modo da non essere troppo allarmato.
In particolare, per illustrare che non tutti i pacchetti bloccati dire che qualcuno è contro di voi, e alcuni pacchetti normale come si imposta il livello di sicurezza è troppo alto e non conformi alle norme di sicurezza, saranno intercettate e allarme.