热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

防火墙常见日志详细分析

发布时间:2012-10-28 22:34文章来源:网络文章作者:秩名 点击次数:
摘要:防火墙日志分为三行: 第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况; 第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母; 日志...

防火墙日志分为三行:

第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;

第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母;

日志第三行是对数据包的处理方法,对于不符合规则的数据包会拦截或拒绝,对符合规则的但被设为监视的数据包会显示为“继续下一规则”。

1.最常见的报警,尝试用ping来探测本机

分为两种:

如果在防火墙规则里设置了“防止别人用PING命令探测主机”,你的电脑就不会返回给对方这种ICMP包,这样别人就无法用PING命令探测你的电脑,也就以为没你电脑的存在。如果偶尔一两条没什么,但如果显示有N个来自同一IP地址的记录,很有可能是别人用黑客工具探测你主机信息。

[11:13:35] 接收到 210.29.14.136 的 ICMP 数据包,

类型: 8 , 代码: 0,

该包被拦截。

这种情况只是简单的ping命令探测,如:ping 210.29.14.130就会出现如上日志。

[14:00:24] 210.29.14.130 尝试用Ping来探测本机,

该操作被拒绝。

这种情况一般是扫描器探测主机,主要目的是探测远程主机是否连网!但还有一种可能,如果多台不同IP的计算机试图利用Ping的方式来探测本机。如下方式(经过处理了,ip是假设的):

[14:00:24] 210.29.14.45 尝试用Ping来探测本机,

该操作被拒绝。

[14:01:09] 210.29.14.132 尝试用Ping来探测本机,

该操作被拒绝。

[14:01:20] 210.29.14.85 尝试用Ping 来探测本机,

该操作被拒绝。

[14:01:20] 210.29.14.68 尝试用Ping 来探测本机,

该操作被拒绝。

此时就不是人为的原因了,所列机器感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞,一旦发现,即把病毒传播到这些机器上。

2.对于windows xp系统常见的报警

也分两种情况:

[18:58:37] 10.186.210.96试图连接本机的Blazer 5[5000]端口,

TCP标志:S,

该操作被拒绝。

系统因素:Blazer 5[5000]端口是winxp的服务器端口,windows XP默认启动的 UPNP服务,没有病毒木马也是打开的,大家看到的报警一般属于这种情况,因为本地或远程主机的5000端口服务异常,导致不断连接5000端口。

木马因素:有些木马也开放此端口,如木马blazer5开放5000端口,木马Sockets de roie开放5000、5001、5321端口等!但我看也没多少人用这种木马!

3.常见报警之QQ聊天服务器

[19:55:55] 接收到 218.18.95.163 的 UDP 数据包,

本机端口: 1214 ,

对方端口: OICQ Server[8000]

该包被拦截。

[19:55:56] 接收到 202.104.129.254 的 UDP 数据包,

本机端口: 4001 ,

对方端口: OICQ Server[8000]

该包被拦截。

这个防火墙日志是昨天在校园网的“谈天说地”上抄下来的,腾讯QQ服务器端开放的就是8000端口.一般是QQ服务器的问题,因为接受不到本地的客户响应包,而请求不断连接,还有一种可能就是主机通过QQ服务器转发消息,但服务器发给对方的请求没到达,就不断连接响应了(TCP三次握手出错了,我是这么认为的,具体没找到权威资料,可能说的不对,欢迎指正。)

4.共享端口之135,139,445(一般在局域网常见)

又要分几种情况:

135端口是用来提供RPC通信服务的,445和139端口一样,是用来提供文件和打印机共享服务的。

[20:01:36] 218.8.124.230试图连接本机的NetBios-SSN[139]端口,

TCP标志:S,

该操作被拒绝。

[16:47:24] 60.31.133.146试图连接本机的135端口,

TCP标志:S,

该操作被拒绝。

[16:47:35] 60.31.135.195试图连接本机的CIFS[445]端口,

TCP标志:S,

该操作被拒绝。

第一种:正常情况,局域网的机器共享和传输文件(139端口)。

第二种:连接你的135和445端口的机器本身应该是被动地发数据包,或者也有可能是正常的、非病毒的连接——虽然这个可能性比较小。

第三种:无聊的人扫描ip段,这个也是常见的,初学黑客技术都这样,十足的狂扫迷,但往往什么也没得到,这种人应该好好看看TCP/IP协议原理。

第四种:连接135端口的是冲击波(Worm.Blaster)病毒,“尝试用Ping来探测本机”也是一种冲击波情况(internet),这种135端口的探测一般是局域网传播,现象为同一个ip不断连接本机135端口,此时远程主机没打冲击波补丁,蠕虫不断扫描同一ip段(这个是我自己的观点,冲击波的广域网和局域网传播方式估计不同吧,欢迎指正!)

第五种:某一IP连续多次连接本机的NetBios-SSN[139]端口,表现为时间间隔短,连接频繁。

防火墙日志中所列计算机此时感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点,它们会搜寻局域网内一切可用的共享资源,并会将病毒复制到取得完全控制权限的共享文件夹内,以达到病毒传播之目的。这种人应该同情下,好好杀毒吧!

5.防火墙常见报警之高端端口

可以分下列情况:

第一种:

[7:49:36] 接收到 64.74.133.9 的 UDP 数据包,

本机端口: 33438 ,

对方端口: 10903

该包被拦截。

这种情况一般是游戏开放的服务端口,一般范围在27910~~27961,因此来自这一端口范围的UDP包或发送到这一端口范围的UDP包通常是游戏。爱好游戏的朋友会收到类似的端口连接。比如启动CS后创建了两个端口44405和55557。奇迹服务器好象是55960和55962端口。

第二种:

[18:34:16] 接收到 210.29.14.86 的 UDP 数据包,

本机端口: 6884 ,

对方端口: 6881

该包被拦截。

这个是BT服务端口(6881~~6889),每个bt线程占用一个端口,据说只能开9个,但有时候防火墙报警,原因是防火墙过滤了这些端口。开放这些端口或关闭防火墙才能用BT。多说几句,一些同学反映不能用BT,我给出我自己的分析,因为学校的路由器或交换机限制了这些端口,不能使其BT端口全部打开。

解决方法(可能不怎么管用,参考下):端口映射,换默认端口,开放默认端口!

再给点网上的资料:常用游戏端口

中国游戏中心 TCP 8000

联众世界 TCP 2000

网易泡泡 UDP 4001

边锋网络游戏世界 TCP 4000

中国围棋网 TCP 9696

笨苹果游戏互动网 UDP 5000

上海热线游戏频道 TCP 8000

凯思帝国游戏在线 TCP 2050

防火墙日志解析中对于端口的介绍就总结到这,有兴趣的读者可以继续关注这方面的内容。

6.常见攻击之IGMP数据包

[23:11:48] 接收到210.29.14.130的IGMP数据包

该包被拦截

[23:11:48] 接收到210.29.14.130的IGMP数据包

该包被拦截

这是日志中最常见的,也是最普遍的攻击形式。IGMP(Internet Group Management Protocol)是用于组播的一种协议,实际上是对Windows的用户是没什么用途的,但由于Windows中存在IGMP漏洞,当向安装有windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时,会导致系统TCP/IP栈崩溃,系统直接蓝屏或死机,这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则,只要选中就可以了。

碰到这种情况可以分两种:一种是你得罪他了,和你有仇;另一种就是攻击者吃饱了撑的或是一个破坏狂!

7.常见端口的日志记录

没什么影响:

[12:37:57] 192.168.177.16试图连接本机的FTP Open Server 端口,

TCP标志:S,

该操作被拒绝。

这个也分两种,一种是有人想探测你的主机是不是开放了21端口,想看看共享资源;另一种是用扫描器扫ip段的ftp服务端口,一般没什么恶意。

[23:08:34] 221.208.47.102试图连接本机的Wingate[1080]端口,

TCP标志:S,

该操作被拒绝。

这个是有人扫描ip段中的代理服务器,一般代理服务器默认端口常见的如Wingate[1080],ccproxy[808,1080]等等,也没什么关系。

[12:37:57] 192.168.177.16试图连接本机的试图连接本机的http[80]端口,

TCP标志:S,

该操作被拒绝。

日志分析先到此为止,一般上网的用户都有这种情况,网站服务器的回显等等啊,出现一两个这样的报警没关系的。可能还有一些常见的端口,噢,个人能力有限啊,想起来再整理吧!

8.真正想入侵你机器的日志(值得注意):

[11:13:55] 219.130.135.151试图连接本机的3389端口,

TCP标志:S,

该操作被拒绝。

这种人应该引起高度重视,3389这么恐怖的事情都来,还记得2000系统的3389输入法漏洞吗,当年菜鸟的最爱。

[11:13:55] 210.29.14.130试图连接本机的1433端口,

TCP标志:S,

该操作被拒绝。

[11:13:55] 210.29.14.130试图连接本机的23端口,

TCP标志:S,

该操作被拒绝。

[11:13:55] 210.29.14.130试图连接本机的4899端口,

TCP标志:S,

该操作被拒绝。

不多说了,都是黑客们的最爱,如果想知道具体的就去网Down吧!

9.洪水攻击SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻击。

因为条件的限制,我没有模拟,大概日志应该如下:

[11:13:55] 接收到210.29.14.130的SYN Flood攻击,

该操作被拒绝。

遇到这种情况,人品就要考虑下了!关于如何防范,还有别的事,不想长篇大论了!网上资料也很多的~~~

10.木马端口的扫描日志

这次我列具体点,现在木马泛滥:

[11:13:55] 210.29.14.130试图连接本机的木马冰河[7626]端口,

TCP标志:S,

该操作被拒绝。

(冰河木马的端口,呵呵,黑迷们的最爱啊)

[11:13:55] 210.29.14.130试图连接本机6267端口,

TCP标志:S,

该操作被拒绝。

(注:广外女生木马的默认端口,很经典的一个国产木马。)

[11:13:55] 210.29.14.130试图连接本机5328端口,

TCP标志:S,

该操作被拒绝。

(注:风雪木马的默认端口)

标签分类:

上一篇:测试防火墙三步曲
下一篇:网康下一代防火墙诠释安全防护新体系