防火墙常见日志详细分析(2)

安全 网站安全
本文主要向大家介绍的是防火墙日志的分析的相关内容,希望大家可以从以下的文章中得到自己需要的知识。

3.常见报警之qq聊天服务器

[19:55:55] 接收到 218.18.95.163 的 UDP 数据包,

本机端口: 1214 ,

对方端口: OICQ Server[8000]

该包被拦截。

[19:55:56] 接收到 202.104.129.254 的 UDP 数据包,

本机端口: 4001 ,

对方端口: OICQ Server[8000]

该包被拦截。

这个防火墙日志是昨天在校园网的“谈天说地”上抄下来的,腾讯QQ服务器端开放的就是8000端口.一般是qq服务器的问题,因为接受不到本地的客户响应包,而请求不断连接,还有一种可能就是主机通过qq服务器转发消息,但服务器发给对方的请求没到达,就不断连接响应了(TCP三次握手出错了,我是这么认为的,具体没找到权威资料,可能说的不对,欢迎指正)

4.共享端口之135,139,445(一般在局域网常见)

又要分几种情况:

135端口是用来提供RPC通信服务的,445和139端口一样,是用来提供文件和打印机共享服务的。

[20:01:36] 218.8.124.230试图连接本机的NetBios-SSN[139]端口,

TCP标志:S,

该操作被拒绝。

[16:47:24] 60.31.133.146试图连接本机的135端口,

TCP标志:S,

该操作被拒绝。

[16:47:35] 60.31.135.195试图连接本机的CIFS[445]端口,

TCP标志:S,

该操作被拒绝。

第一种:正常情况,局域网的机器共享和传输文件(139端口)。

第二种:连接你的135和445端口的机器本身应该是被动地发数据包,或者也有可能是正常的、非病毒的连接——虽然这个可能性比较小。

第三种:无聊的人扫描ip段,这个也是常见的,初学黑客技术都这样,十足的狂扫迷,但往往什么也没得到,这种人应该好好看看TCP/IP协议原理。

第四种:连接135端口的是冲击波(Worm.Blaster)病毒,“尝试用Ping来探测本机”也是一种冲击波情况(internet),这种135端口的探测一般是局域网传播,现象为同一个ip不断连接本机135端口,此时远程主机没打冲击波补丁,蠕虫不断扫描同一ip段(这个是我自己的观点,冲击波的广域网和局域网传播方式估计不同吧,欢迎指正!)

第五种:某一IP连续多次连接本机的NetBios-SSN[139]端口,表现为时间间隔短,连接频繁。

防火墙日志中所列计算机此时感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点,它们会搜寻局域网内一切可用的共享资源,并会将病毒复制到取得完全控制权限的共享文件夹内,以达到病毒传播之目的。这种人应该同情下,好好杀毒吧!

【编辑推荐】

  1. 防火墙常见日志详细分析(1)
  2. 防火墙常见日志详细分析(3)
  3. 防火墙常见日志详细分析(4)
  4. 防火墙常见日志详细分析(5)

 

责任编辑:佚名 来源: CSDN
相关推荐

2011-07-01 13:29:41

2011-07-01 11:56:56

2011-07-01 13:29:23

防火墙

2011-07-01 13:28:13

2009-11-18 16:24:35

P-Link路由器

2009-12-25 13:37:42

2009-09-25 14:23:39

2009-09-28 10:39:01

Hibernate基础

2011-07-01 11:20:19

2009-09-14 13:50:35

LINQ编程模型

2009-09-08 15:56:50

Linq使用Group

2010-01-06 13:50:37

.NET Framew

2009-11-20 13:11:44

Oracle XML数

2009-09-09 09:48:43

Linq延迟加载

2009-06-18 14:00:51

2009-09-14 16:21:34

LINQ To XML

2009-10-10 13:52:57

VB Update方法

2010-09-14 10:46:59

2009-09-09 13:53:21

Linq表值函数

2009-09-07 14:18:01

C#内存管理
点赞
收藏

51CTO技术栈公众号