透过防火墙日志看系统安全

防火墙日志可以说是一盘大杂烩，其中会保存系统收到的各种不安全信息的时间、类型等等。通过分析这些日志，可以发现曾经发生过或正在进行的系统入侵行为。 防火墙日志并不复杂，但要看懂它还是需要了解一些基础概念（如端口、协议等）。尽管每种防火墙日志不一样，但在记录方式上大同小异，主要包括：时间、允许或拦截（Accept或Block）、通讯类型、源IP地址、源端口、目标地址和目标端口等。本文将以《天网防火墙》日志为例，让大家了解如何分析防火墙日志，进而找出系统漏洞和可能存在的攻击行为。 《天网防火墙》会把所有不合规则的数据包拦截并记录到日志中，如果你选择了监视所有TCP和UDP数据包，那你发送和接收的每个数据包都将被记录。 1、139端口攻击 所示的日志表明：来自于局域网内的一台电脑正试图访问你电脑的139端口，但该操作未能成功执行。 139端口是NetBIOS协议所使用的端口，在安装了TCP/IP 协议的同时，NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道你的电脑中的一切! 小提示：“NetBIOS”是网络的输入输出系统，尽管现在TCP/IP 协议成为广泛使用的传输协议，但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。 尽管在《天网防火墙》的监控下，此隐患并没有被利用。但我们不能无动于衷，应想办法把这个漏洞补上。对于连接到互联网上的机器，NetBIOS完全没有用处，可以将它去掉。 那么如何知晓这个来源地址的行为呢?如果是一个远程地址，有可能是对方在用软件进行扫描或者是病毒作怪，但图1中的192.168.30.15X等地址和本机是在同一局域网中，且上机人员未用软件攻击，经检查发现这些电脑原来是中了“尼姆达病毒”。2、80端口攻击 在《天网防火墙》中，假定你收到类似这样的信息，它的意思是：在182920这个时刻，来自于IP地址为61.128.89.××的用户试图连接你的电脑，并扫描你的电脑是否开放了80端口（这是Web服务要开放的端口）。 如果经常收到来自外部IP高端口（大于1024）发起的类似TCP的连接请求，你得小心对方电脑是否中了“红色代码”，并试图攻击你（也有可能是人为使用软件攻击）。由于此病毒只传染装有IIS服务的系统，所以普通用户不需担心。 如果担心自己的Web服务器被“红色代码”病毒入侵，可以在服务器上安装防火墙，并设置应用程序规则进行拦截。若发现本机试图访问其他主机的80端口，则应检查自己系统中是否有此病毒了。 3、ping探测攻击 在《天网防火墙》的日志中还会记录某些用户持续对本机进行ping的log，有时也表现为来自多个地址对本机进行ping攻击（图2）。在排除了人为进行的ping之外，要注意可能是来自于源地址机器中有类似于“冲击波”等病毒在作怪。因此，对于本机来讲，刻不容缓的事情就是要安装微软的“冲击波”补丁。4、IGMP攻击 IGMP对于Windows普通用户没什么用途，但由于Win9X操作系统的内核缺陷，其自身存在一个IGMP漏洞，因此有人会利用这个漏洞向指定主机发送大量的IGMP数据包，使Windows 操作系统的网络层受到破坏，导致死机，这在防火墙日志中也会有记载（图3）。对付这类情况最好安装上IGMP数据包的补丁。 不过，有时收到这样的提示信息也并不表示一定就是黑客或者病毒在攻击，在一个局域网中也会经常收到来自于网关的类似数据包；再有一些有视频广播服务的机器也会对用户发送这样的数据包，因此不用过于惊慌。 要特别说明的是，不是所有被拦截的数据包都意味着有人在攻击你，有些正常的数据包会由于你设置的安全级别过高而不符合安全规则，也会被拦截并报警。

• ·“猫和老鼠”的较量 软件破解大揭密(多图)
• ·ADSL防御黑客攻击的十大方法
• ·一个简单的HTML病毒分析
• ·IE被修改完全揭秘
• ·建立全局的安全体系　防范“拒绝服务(DOS)”
• ·全面分析网络安全防御对策
• ·巧妙清除“Restore”文件中的病毒
• ·阻断基于PcAnyWhere的攻击方法
• ·提防：网络安全中最薄弱的环节
• ·打开IE的第五道安全防线