防火墙日志并不复杂,但要看懂它还是需要了解一些基础概念(如端口、协议等)。尽管每种防火墙日志不一样,但在记录方式上大同小异,主要包括:时间、允许或拦截(Accept或Block)、通讯类型、源IP地址、源端口、目标地址和目标端口等。本文将以《天网防火墙》日志为例,让大家了解如何分析防火墙日志,进而找出系统漏洞和可能存在的攻击行为。
《天网防火墙》会把所有不合规则的数据包拦截并记录到日志中,如果你选择了监视所有TCP和UDP数据包,那你发送和接收的每个数据包都将被记录。
1、139端口攻击
如图1所示的日志表明:来自于局域网内的一台电脑正试图访问你电脑的139端口,但该操作未能成功执行。
139端口是NetBIOS协议所使用的端口,在安装了TCP/IP 协议的同时,NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!
小提示:“NetBIOS”是网络的输入输出系统,尽管现在TCP/IP 协议成为广泛使用的传输协议,但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。
尽管在《天网防火墙》的监控下,此隐患并没有被利用。但我们不能无动于衷,应想办法把这个漏洞补上。对于连接到互联网上的机器,NetBIOS完全没有用处,可以将它去掉。
那么如何知晓这个来源地址的行为呢?如果是一个远程地址,有可能是对方在用软件进行扫描或者是病毒作怪,但图1中的192.168.30.15X等地址和本机是在同一局域网中,且上机人员未用软件攻击,经检查发现这些电脑原来是中了“尼姆达病毒”。
2、80端口攻击
在《天网防火墙》中,假定你收到类似这样的信息,它的意思是:在182920这个时刻,来自于IP地址为61.128.89.××的用户试图连接你的电脑,并扫描你的电脑是否开放了80端口(这是Web服务要开放的端口)。
如果经常收到来自外部IP高端口(大于1024)发起的类似TCP的连接请求,你得小心对方电脑是否中了“红色代码”,并试图攻击你(也有可能是人为使用软件攻击)。由于此病毒只传染装有IIS服务的系统,所以普通用户不需担心
%Apr 7 02:01:58 2020 FW-CORE-USG3030 SEC/5/ATCKDF:AttackType:Trace route attackReceive Interface: GigabitEthernet0/1 proto:ICMP(11,0) from 61.186.137.19 to 202.97.96.253 202.97.33.62 61.137.14.222 begin time :2020/04/07 02:01:32end time: 2020/04/07 02:01:56total packets: 61、点击“开始---控制面板---系统和安全---管理工具---查看事件日志”,就可以看到“查看事件日志”的选项;
2、认识主界面(如图4)。下图中:
"1"是菜单栏,这里包含了事件查看器的基本功能。
"2"是查看选择区,可以根据自己的需要选择要查看的日志。
"3"是事件的统计区,所有符合条件的事件都会在这里显示出来。
"4"是事件的信息显示区,这里可以看到某个事件的详细信息。
"5"是操作区,这里包含了可以对事件日志进行的所有操作
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)