防火墙常见日志详细分析
防火墙常见日志详细分析
防火墙常见日志详细分析
作者：冰盾防火墙　网站：　日期：
防火墙日志分为三行：
第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况；
第二行为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，在日志上显示时只标出第一个字母；
日志第三行是对数据包的处理方法，对于不符合规则的数据包会拦截或拒绝，对符合规则的但被设为监视的数据包会显示为&继续下一规则&。
1.最常见的报警，尝试用ping来探测本机
分为两种：
如果在防火墙规则里设置了&防止别人用PING命令探测主机&，你的电脑就不会返回给对方这种ICMP包，这样别人就无法用PING命令探测你的电脑，也就以为没你电脑的存在。如果偶尔一两条没什么，但如果显示有N个来自同一IP地址的记录，很有可能是别人用工具探测你主机信息。
[11:13:35] 接收到 210.29.14.136 的 ICMP 数据包，
类型: 8 ， 代码: 0，
该包被拦截。
这种情况只是简单的ping命令探测，如：ping 210.29.14.130就会出现如上日志。
[14:00:24] 210.29.14.130 尝试用Ping来探测本机，
该操作被拒绝。
这种情况一般是扫描器探测主机，主要目的是探测远程主机是否连网！但还有一种可能，如果多台不同IP的计算机试图利用Ping的方式来探测本机。如下方式(经过处理了，ip是假设的)：
[14:00:24] 210.29.14.45 尝试用Ping来探测本机，
该操作被拒绝。
[14:01:09] 210.29.14.132 尝试用Ping来探测本机，
该操作被拒绝。
[14:01:20] 210.29.14.85 尝试用Ping 来探测本机，
该操作被拒绝。
[14:01:20] 210.29.14.68 尝试用Ping 来探测本机，
该操作被拒绝。
此时就不是人为的原因了，所列机器感染了冲击波类病毒。感染了&冲击波杀手&的机器会通过Ping网内其他机器的方式来寻找RPC，一旦发现，即把病毒传播到这些机器上。
2.对于&xp系统常见的报警
也分两种情况:
[18:58:37] 10.186.210.96试图连接本机的Blazer 5[5000]端口，
TCP标志：S，
该操作被拒绝。
系统因素：Blazer 5[5000]端口是winxp的端口，windows XP默认启动的 UPNP服务，没有病毒木马也是打开的，大家看到的报警一般属于这种情况，因为本地或远程主机的5000端口服务异常，导致不断连接5000端口。
木马因素：有些木马也开放此端口，如木马blazer5开放5000端口，木马Sockets de roie开放、5321端口等！但我看也没多少人用这种木马！
3.常见报警之QQ聊天服务器
[19:55:55] 接收到 218.18.95.163 的 UDP 数据包,
本机端口: 1214 ，
对方端口: OICQ Server[8000]
该包被拦截。
[19:55:56] 接收到 202.104.129.254 的 UDP 数据包，
本机端口: 4001 ，
对方端口: OICQ Server[8000]
该包被拦截。
这个防火墙日志是昨天在校园网的&谈天说地&上抄下来的,腾讯QQ服务器端开放的就是8000端口.一般是QQ服务器的问题，因为接受不到本地的客户响应包，而请求不断连接，还有一种可能就是主机通过QQ服务器转发消息，但服务器发给对方的请求没到达，就不断连接响应了(TCP三次握手出错了，我是这么认为的，具体没找到权威资料，可能说的不对，欢迎指正。)
4.共享端口之135,139,445（一般在局域网常见）
又要分几种情况：
135端口是用来提供RPC通信服务的，445和139端口一样，是用来提供文件和打印机共享服务的。
[20:01:36] 218.8.124.230试图连接本机的NetBios-SSN[139]端口，
TCP标志：S，
该操作被拒绝。
[16:47:24] 60.31.133.146试图连接本机的135端口，
TCP标志：S，
该操作被拒绝。
[16:47:35] 60.31.135.195试图连接本机的CIFS[445]端口，
TCP标志：S，
该操作被拒绝。
第一种：正常情况,局域网的机器共享和传输文件(139端口)。
第二种：连接你的135和445端口的机器本身应该是被动地发数据包，或者也有可能是正常的、非病毒的连接&&虽然这个可能性比较小。
第三种：无聊的人扫描ip段，这个也是常见的，初学黑客技术都这样，十足的狂扫迷，但往往什么也没得到，这种人应该好好看看TCP/IP协议原理。
第四种：连接135端口的是冲击波（Worm.Blaster）病毒，&尝试用Ping来探测本机&也是一种冲击波情况（internet），这种135端口的探测一般是局域网传播，现象为同一个ip不断连接本机135端口，此时远程主机没打冲击波补丁，蠕虫不断扫描同一ip段(这个是我自己的观点，冲击波的广域网和局域网传播方式估计不同吧，欢迎指正！)
第五种：某一IP连续多次连接本机的NetBios-SSN[139]端口，表现为时间间隔短，连接频繁。
防火墙日志中所列计算机此时感染了&尼姆达病毒&。感染了&尼姆达病毒&的计算机有一个特点，它们会搜寻局域网内一切可用的共享资源，并会将病毒复制到取得完全控制权限的共享文件夹内，以达到病毒传播之目的。这种人应该同情下，好好杀毒吧！
5.防火墙常见报警之高端端口
可以分下列情况：
[7:49:36] 接收到 64.74.133.9 的 UDP 数据包，
本机端口: 33438 ，
对方端口: 10903
该包被拦截。
这种情况一般是游戏开放的服务端口，一般范围在2,因此来自这一端口范围的UDP包或发送到这一端口范围的UDP包通常是游戏。爱好游戏的朋友会收到类似的端口连接。比如启动CS后创建了两个端口4。奇迹服务器好象是5端口。
[18:34:16] 接收到 210.29.14.86 的 UDP 数据包，
本机端口: 6884 ，
对方端口: 6881
该包被拦截。
这个是BT服务端口()，每个bt线程占用一个端口，据说只能开9个，但有时候防火墙报警，原因是防火墙过滤了这些端口。开放这些端口或关闭防火墙才能用BT。多说几句，一些同学反映不能用BT，我给出我自己的分析，因为学校的路由器或交换机限制了这些端口，不能使其BT端口全部打开。
解决方法(可能不怎么管用，参考下)：端口映射，换默认端口，开放默认端口！
再给点网上的资料：常用游戏端口
中国游戏中心 TCP 8000
联众世界 TCP 2000
网易泡泡 UDP 4001
边锋网络游戏世界 TCP 4000
中国围棋网 TCP 9696
笨苹果游戏互动网 UDP 5000
上海热线游戏频道 TCP 8000
凯思帝国游戏在线 TCP 2050
防火墙日志解析中对于端口的介绍就总结到这，有兴趣的读者可以继续关注这方面的内容。
6.常见之IGMP数据包
[23:11:48] 接收到210.29.14.130的IGMP数据包
该包被拦截
[23:11:48] 接收到210.29.14.130的IGMP数据包
该包被拦截
这是日志中最常见的，也是最普遍的攻击形式。IGMP（Internet Group Management Protocol）是用于组播的一种协议，实际上是对Windows的用户是没什么用途的，但由于Windows中存在IGMP漏洞，当向安装有windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时，会导致系统TCP/IP栈崩溃，系统直接蓝屏或死机，这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则，只要选中就可以了。
碰到这种情况可以分两种：一种是你得罪他了，和你有仇；另一种就是攻击者吃饱了撑的或是一个破坏狂！
7.常见端口的日志记录
没什么影响：
[12:37:57] 192.168.177.16试图连接本机的FTP Open Server 端口，
TCP标志：S，
该操作被拒绝。
这个也分两种，一种是有人想探测你的主机是不是开放了21端口，想看看共享资源；另一种是用扫描器扫ip段的ftp服务端口，一般没什么恶意。
[23:08:34] 221.208.47.102试图连接本机的Wingate[1080]端口，
TCP标志：S，
该操作被拒绝。
这个是有人扫描ip段中的代理服务器，一般代理服务器默认端口常见的如Wingate[1080]，proxy[808,1080]等等，也没什么关系。
[12:37:57] 192.168.177.16试图连接本机的试图连接本机的http[80]端口，
TCP标志：S，
该操作被拒绝。
日志分析先到此为止，一般上网的用户都有这种情况，网站服务器的回显等等啊，出现一两个这样的报警没关系的。可能还有一些常见的端口,噢，个人能力有限啊，想起来再整理吧！
8.真正想你机器的日志(值得注意)：
[11:13:55] 219.130.135.151试图连接本机的3389端口，
TCP标志：S，
该操作被拒绝。
这种人应该引起高度重视，3389这么恐怖的事情都来，还记得2000系统的3389输入法漏洞吗，当年菜鸟的最爱。
[11:13:55] 210.29.14.130试图连接本机的1433端口，
TCP标志：S，
该操作被拒绝。
[11:13:55] 210.29.14.130试图连接本机的23端口，
TCP标志：S，
该操作被拒绝。
[11:13:55] 210.29.14.130试图连接本机的4899端口，
TCP标志：S，
该操作被拒绝。
不多说了，都是黑客们的最爱,如果想知道具体的就去网Down吧！
9.洪水攻击SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻击。
因为条件的限制，我没有模拟，大概日志应该如下：
[11:13:55] 接收到210.29.14.130的SYN Flood攻击，
该操作被拒绝。
遇到这种情况，人品就要考虑下了！关于如何防范，还有别的事，不想长篇大论了！网上资料也很多的~~~
10.木马端口的扫描日志
这次我列具体点，现在木马泛滥：
[11:13:55] 210.29.14.130试图连接本机的木马冰河[7626]端口，
TCP标志：S，
该操作被拒绝。
(冰河木马的端口，呵呵，黑迷们的最爱啊)
[11:13:55] 210.29.14.130试图连接本机6267端口，
TCP标志：S，
该操作被拒绝。
(注:广外女生木马的默认端口，很经典的一个国产木马。)
[11:13:55] 210.29.14.130试图连接本机5328端口，
TCP标志：S，
该操作被拒绝。
(注：风雪木马的默认端口)
最新内容：
相关内容：
合作伙伴：查看进程的端口号
貌似没有一种可以在所有的Unix系统中通用的方法，下属的某些方法仅仅适用于某个平台，或者需要加装某些程序才能使用。
一、 netstat
1.1 windows 下
1.查找指定目标进程(java的atf web工程)
tasklist& -v |find "java"
图像名&&&&&&&
javaw.exe&&&&
2.在全部端口中查找进程号为 pid=3582(atf项目的进程号) 的信息
netstat -nao |find "2760"
0.0.0.0:8080&&&&&&&&&&
0.0.0.0:0&&&&&&&&&&&&&
LISTENING&&&&&&
0.0.0.0:8443&&&&&&&&&&
0.0.0.0:0&&&&&&&&&&&&&
LISTENING&&&&&&
192.168.88.46:4168&&&&
192.168.6.19:1531&&&&&
ESTABLISHED&&&&
192.168.88.46:4169&&&&
192.168.6.19:1531&&&&&
ESTABLISHED&&&&
1.2 Unix 系统下
1.使用netstat查看进程PID&
[root@test ~]# netstat -anp|grep 5001&
tcp&&&&&&&
:::5001&&&&&&&&&&&&&&&&&&&&
:::*&&&&&&&&&&&&&&&&&&&&&&&
LISTEN&&&&&
12886/java&&&&&&&&&&
2.使用ps查看进程情况&
[root@test 12886]# ps -ef|grep 12886&
00:01:14 /home/bjca/bea/jdk160_05/bin/java -client -Xms256m
-Xmx512m -XX:CompileThreshold=8000 -XX:PermSize=48m
-XX:MaxPermS
[root@redhat95242 ~]# lsof -i :14191
COMMAND&&&&
PID&USER&&
FD&& TYPE DEVICE SIZE NODE
vcsauthse 31863 root&&
634454&&&&&&
TCP *:14191 (LISTEN)
三、 pfiles (solaris)
编写个小脚本 test.sh
for i in *
echo ------ process $i ---------
pfiles $i | grep -i "port: 41859"
-bash-3.00$ ./test.sh
然后看结果：
------ process 0 ---------
pfiles: permission denied: 0
------ process 1 ---------
pfiles: permission denied: 1
------ process&5290&---------
&&&sockname: AF_INET
10.64.89.9&&port:
------ process 606 ---------
pfiles: permission denied: 606
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
您的访问请求被拒绝 403 Forbidden - ITeye技术社区
您的访问请求被拒绝
亲爱的会员，您的IP地址所在网段被ITeye拒绝服务，这可能是以下两种情况导致：
一、您所在的网段内有网络爬虫大量抓取ITeye网页，为保证其他人流畅的访问ITeye，该网段被ITeye拒绝
二、您通过某个代理服务器访问ITeye网站，该代理服务器被网络爬虫利用，大量抓取ITeye网页
请您点击按钮解除封锁&}