透过防火墙日志看系统安全
日期:2007-07-22 荐:
防火墙日志可以说是一盘大杂烩,其中会保存系统收到的各种不安全信息的时间、类型等等。通过分析这些日志,可以发现曾经发生过或正在进行的系统入侵行为。 防火墙日志并不复杂,但要看懂它还是需要了解一些基础概念(如端口、协议等)。尽管每种防火墙日志不一样,但在记录方式上大同小异,主要包括:时间、允许或拦截(Accept或Block)、通讯类型、源IP地址、源端口、目标地址和目标端口等。本文将以《天网防火墙》日志为例,让大家了解如何分析防火墙日志,进而找出系统漏洞和可能存在的攻击行为。 《天网防火墙》会把所有不合规则的数据包拦截并记录到日志中,如果你选择了监视所有TCP和UDP数据包,那你发送和接收的每个数据包都将被记录。 1、139端口攻击 如图1所示的日志表明:来自于局域网内的一台电脑正试图访问你电脑的139端口,但该操作未能成功执行。
图 1 139端口是NetBIOS协议所使用的端口,在安装了TCP/I 协议的同时,NetBIO 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!
小提示:“NetBIOS”是网络的输入输出系统,尽管现在TCP/I 协议成为广泛使用的传输协议,但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。 尽管在《天网防火墙》的监控下,此隐患并没有被利用。但我们不能无动于衷,应想办法把这个漏洞补上。对于连接到互联网上的机器,NetBIOS完全没有用处,可以将它去掉。 那么如何知晓这个来源地址的行为呢?如果是一个远程地址,有可能是对方在用软件进行扫描或者是病毒作怪,但图1中的192.168.30.15X等地址和本机是在同一局域网中,且上机人员未用软件攻击,经检查发现这些电脑原来是中了“尼姆达病毒”。 2、80端口攻击 在《天网防火墙》中,假定你收到类似这样的信息,它的意思是:在18
标签: