防火墙黑客攻击日志分析_防火墙被攻击 日志

hacker|
121

文章目录:

局域网arp攻击,帮忙分析下防火墙日志

那你就去找172.30.180.10这个IP的电脑

或者是找网卡MAC地址是00-0e-a6-32-d4-92 的电脑.

怎样使用防火墙的日志功能?

防火墙日志可以说是一盘大杂烩,其中会保存系统收到的各种不安全信息的时间、类型等等。通过分析这些日志,可以发现曾经发生过或正在进行的系统入侵行为。

防火墙日志并不复杂,但要看懂它还是需要了解一些基础概念(如端口、协议等)。尽管每种防火墙日志不一样,但在记录方式上大同小异,主要包括:时间、允许或拦截(Accept或Block)、通讯类型、源IP地址、源端口、目标地址和目标端口等。这里将以《天网防火墙》日志为例,了解如何分析防火墙日志,进而找出系统漏洞和可能存在的攻击行为。

《天网防火墙》会把所有不合规则的数据包拦截并记录到日志中,如果你选择了监视所有TCP和UDP数据包,那你发送和接收的每个数据包都将被记录。

1.139端口攻击

139端口是NetBIOS协议所使用的端口,在安装了TCP/IP 协议的同时,NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!

小提示:“NetBIOS”是网络的输入输出系统,尽管现在TCP/IP 协议成为广泛使用的传输协议,但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。

尽管在《天网防火墙》的监控下,此隐患并没有被利用。但我们不能无动于衷,应想办法把这个漏洞补上。对于连接到互联网上的机器,NetBIOS完全没有用处,可以将它去掉。

那么如何知晓这个来源地址的行为呢?如果是一个远程地址,有可能是对方在用软件进行扫描或者是病毒作怪,但图1中的192.168.30.15X等地址和本机是在同一局域网中,且上机人员未用软件攻击,经检查发现这些电脑原来是中了“尼姆达病毒”。

2.80端口攻击

在《天网防火墙》中,假定你收到类似这样的信息,它的意思是:在18:29:20这个时刻,来自于IP地址为61.128.89.××的用户试图连接你的电脑,并扫描你的电脑是否开放了80端口(这是Web服务要开放的端口)。

如果经常收到来自外部IP高端口(大于1024)发起的类似TCP的连接请求,你得小心对方电脑是否中了“红色代码”,并试图攻击你(也有可能是人为使用软件攻击)。由于此病毒只传染装有IIS服务的系统,所以普通用户不需担心。

如果担心自己的Web服务器被“红色代码”病毒入侵,可以在服务器上安装防火墙,并设置应用程序规则进行拦截。若发现本机试图访问其他主机的80端口,则应检查自己系统中是否有此病毒了。

3.ping探测攻击

在《天网防火墙》的日志中还会记录某些用户持续对本机进行ping的log,有时也表现为来自多个地址对本机进行ping攻击。在排除了人为进行的ping之外,要注意可能是来自于源地址机器中有类似于“冲击波”等病毒在作怪。因此,对于本机来讲,刻不容缓的事情就是要安装微软的“冲击波”补丁。

4.IGMP攻击

IGMP对于Windows普通用户没什么用途,但由于Win9X操作系统的内核缺陷,其自身存在一个IGMP漏洞,因此有人会利用这个漏洞向指定主机发送大量的IGMP数据包,使Windows 操作系统的网络层受到破坏,导致死机,这在防火墙日志中也会有记载。对付这类情况最好安装上IGMP数据包的补丁。

不过,有时收到这样的提示信息也并不表示一定就是黑客或者病毒在攻击,在一个局域网中也会经常收到来自于网关的类似数据包;再有一些有视频广播服务的机器也会对用户发送这样的数据包,因此不用过于惊慌。

要特别说明的是,不是所有被拦截的数据包都意味着有人在攻击你,有些正常的数据包会由于你设置的安全级别过高而不符合安全规则,也会被拦截并报警。

华为防火墙日志怎么看

防火墙日志可以说是一盘大杂烩,其中会保存系统收到的各种不安全信息的时间、类型等等。通过分析这些日志,可以发现曾经发生过或正在进行的系统入侵行为。

防火墙日志并不复杂,但要看懂它还是需要了解一些基础概念(如端口、协议等)。尽管每种防火墙日志不一样,但在记录方式上大同小异,主要包括:时间、允许或拦截(Accept或Block)、通讯类型、源IP地址、源端口、目标地址和目标端口等。本文将以《天网防火墙》日志为例,让大家了解如何分析防火墙日志,进而找出系统漏洞和可能存在的攻击行为。

《天网防火墙》会把所有不合规则的数据包拦截并记录到日志中,如果你选择了监视所有TCP和UDP数据包,那你发送和接收的每个数据包都将被记录。

1、139端口攻击

如图1所示的日志表明:来自于局域网内的一台电脑正试图访问你电脑的139端口,但该操作未能成功执行。

139端口是NetBIOS协议所使用的端口,在安装了TCP/IP 协议的同时,NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!

小提示:“NetBIOS”是网络的输入输出系统,尽管现在TCP/IP 协议成为广泛使用的传输协议,但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。

尽管在《天网防火墙》的监控下,此隐患并没有被利用。但我们不能无动于衷,应想办法把这个漏洞补上。对于连接到互联网上的机器,NetBIOS完全没有用处,可以将它去掉。

那么如何知晓这个来源地址的行为呢?如果是一个远程地址,有可能是对方在用软件进行扫描或者是病毒作怪,但图1中的192.168.30.15X等地址和本机是在同一局域网中,且上机人员未用软件攻击,经检查发现这些电脑原来是中了“尼姆达病毒”。

2、80端口攻击

在《天网防火墙》中,假定你收到类似这样的信息,它的意思是:在182920这个时刻,来自于IP地址为61.128.89.××的用户试图连接你的电脑,并扫描你的电脑是否开放了80端口(这是Web服务要开放的端口)。

如果经常收到来自外部IP高端口(大于1024)发起的类似TCP的连接请求,你得小心对方电脑是否中了“红色代码”,并试图攻击你(也有可能是人为使用软件攻击)。由于此病毒只传染装有IIS服务的系统,所以普通用户不需担心

天网防火墙的日志是什么意思啊

原来整理过这东西,帖在这里“

现在天网流行了。一是因为国产,大家有这个热情,二则功用确实不错。三是大家安全意识高了一些。

但有的人天网一开,就觉得百毒不侵了,想法极端。有人开了天网往往黄色的惊叹号闪个不停。一个兄弟电脑重新启动了几次,以为是黑客攻击,就担心的叫我去看,说被攻击了。其实不是什么事,正常的防火墙拦截信息而已。

可能有很多兄弟也都会对这有疑问的。我仅以我所知解释一些疑问。希望对大家有用。

天网的日志一般有三行:

第一行:数据包发送(接受)时间/发送者IP地址/对方通讯端口/数据包类型/本机通讯端口

第二行:为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,天网在显示标志位时取这六个标志位的第一个字母即A代表ASK、S代表SYN等 ,其中标志位A、S和F较常用。

ACK:确认标志 提示远端系统已经成功接收所有数据

SYN:同步标志 该标志仅在建立TCP连接时有效,它提示TCP连接的服务端检查序列编号

FIN:结束标志 带有该标志位的数据包用来结束一个TCP会话,但对应端口还处于开放状态,准备接收后续数据。

RST:复位标志,具体作用未知。

第三行:对数据包的处理方法:不符合规则的数据包会拦截或拒绝,显示为:“该操作被拒绝”,即防火墙拦截了!因此对方不能确定你在线否!

【⑴】:最常见的:尝试用ping来探测本机

··在防火墙规则里设置“防止别人用PING命令探测主机”,你的电脑就不会返回给对方ICMP包,这样别人就无法用PING命令探测你的电脑的存在。这种情况只是简单的ping命令探测,如:ping 210.29.14.130就会出现如下日志:

[11:13:35] 接收到 210.29.14.136 的 ICMP 数据包,

类型: 8 , 代码: 0,

该包被拦截。

这条日志出现的频率很高。IGMP的全称是internet组管理协议,它是IP协议的扩展,主要用于IP主机向它邻近主机通知组成员身份。通常出现这条日志并不表明电脑受到攻击,不过黑客可以通过编写攻击程序,利用windows本身的BUG,采用特殊格式数据包向目标电脑发动攻击,使被攻击电脑的操作系统蓝屏、死机。蓝屏炸弹一般用的就是IGMP协议。

一般形成IGMP攻击时,会在日志中显示为大量来自于同一IP地址的IGMP数据包。不过,有时收到这样的提示信息也并不一定是黑客或病毒在攻击,在局域网中也会常收到来自网关的类似数据包。

另外:你的机子安装了许多自动在线升级的软件,如瑞星、KV、WINDOWS自动更新、木马克星、魔法兔子等等软件,当这些软件的提供商即服务器,他要升级这些软件时,他在检查他的客户端发出升级指令,这个检查客户的过程就是PING客户。这点被多好朋友忽视。这是是善意的PING 。

··也有另一种PING信息日志:

[14:00:24] 210.29.14.130 尝试用Ping来探测本机,

该操作被拒绝。

这种情况一般是扫描器探测主机,主要目的是探测远程主机是否连网!

··如果偶尔一两条没什么,但如果显示有N个来自同一IP地址的记录,很有可能是别人用黑客工具探测你主机信息或者因为病毒了。如:

[14:00:24] 210.29.14.45 尝试用Ping来探测本机,

该操作被拒绝。

[14:01:09] 210.29.14.132 尝试用Ping来探测本机,

该操作被拒绝。

[14:01:20] 210.29.14.85 尝试用Ping 来探测本机,

该操作被拒绝。

[14:01:20] 210.29.14.68 尝试用Ping 来探测本机,

该操作被拒绝。

若不是黑客所为,那这些机器一般是感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞,一旦发现,即把病毒传播到这些机器上。感染局域网传染病毒的机器也会自动发送信息,这样的情况就要注意先打冲击波补丁,并且查毒。我中了V-King。但同网的就是不杀毒不理会。我只好每天不和他们同时上网。

【⑵】:一些常见端口信息日志

··[16:47:24] 60.31.133.146试图连接本机的135端口,

TCP标志:S,

该操作被拒绝。

同上,是利用RPC服务漏洞的冲击波类的蠕虫病毒,该病毒主要攻击手段就是扫描计算机的135端口进行攻击。更新微软的补丁还是必要的。

··[20:01:36] 218.8.124.230试图连接本机的NetBios-SSN[139]端口,

TCP标志:S,

该操作被拒绝。

特征:某一IP连续多次连接本机的NetBios-SSN[139]端口,表现为时间间隔短,连接频繁

139端口是NetBIOS协议所使用的端口,在安装了TCP/IP 协议的同时,NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!NetBIOS 是网络的输入输出系统,尽管现在TCP/IP 协议成为广泛使用的传输协议,但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。对于连接到互联网上的机器,NetBIOS完全没有用处,可以将它去掉。不会吗?自己查

··[16:47:35] 60.31.135.195试图连接本机的CIFS[445]端口,

TCP标志:S,

该操作被拒绝。

开了445端口,在局域网中轻松访问各种共享文件夹或共享打印机,但正因为有了它,别有用心者才有了可乘之机

SMB: Windows协议族,用于文件和打印共享服务。

NBT: 使用137(UDP), 138(UDP) and 139 (TCP)来实现基于TCP/IP的NETBIOS网际互联。

在NBT上面,有SMB基础报文头部。SMB可以直接运行于TCP之上而无须NBT

在Windows NT中SMB基于NBT实现。 而在WinXP中,SMB除了基于NBT的实现,还有直接通过445端口实现。当WinXP(允许NBT)作为client来连接SMB服务器时,它会同时尝试连接139和445端口,如果445端口有响应,那么就发送RST包给 139端口断开连接,以455端口通讯来继续.当445端口无响应时,才使用139端口。

135端口是用来提供RPC通信服务的,445和139端口一样,是用来提供文件和打印机共享服务的。正常情况,局域网的机器共享和传输文件 (139端口。连接你的135和445端口的机器本身应该是被动地发数据包,或者也有可能是正常的、非病毒的连接——虽然这个可能性比较小。既然如此,那当然也可能是利用聊的人扫描ip段,这个也是常见的,初学黑客技术都这样,十足的狂扫迷,但往往什么也没得到,这种人应该好好看看

TCP/IP协议原理。

前面说了,局域网传播病毒会PING局域网机器,那有漏洞的主机当然躲不过端口连接,连接135端口的是冲击波(Worm.Blaster)病毒,尝试用Ping来探测本机也属于此,这种135端口的探测一般是局域网传播,现象为同一个ip不断连接本机135端口,此时远程主机没打冲击波补丁,蠕虫不断扫描同一ip段(这个是我自己的观点,冲击波的广域网和局域网传播方式估计不同吧,欢迎指正!)

某一IP连续多次连接本机的NetBios-SSN[139]端口,表现为时间间隔短,连接频繁。此时日志中所列计算机感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点,它们会搜寻局域网内一切可用的共享资源,并会将病毒复制到取得完全控制权限的共享文件夹内,以达到病毒传播之目的。这种人应该同情下,好好杀毒吧!

··[12:37:57] 192.168.177.16试图连接本机的试图连接本机的http[80]端口,

TCP标志:S,

该操作被拒绝。

一般上网的用户都有这种情况,网站服务器的回显等等啊,出现一两个这样的报警没关系的。

如果你安装了IIS来建立自己的个人网站,开放了WEB服务,即会开放80端口。因此黑客扫描判断你是否开放了WEB服务,寻找相应的漏洞来进行入侵。一般我们所遇到的大都是别人的扫描行为,不需要过于担心了。

如果经常收到来自外部IP高端口(大于1024)发起的类似TCP的连接请求,你得小心对方电脑是否中了“红色代码”,并试图攻击你(也有可能是人为使用软件攻击)。由于此病毒只传染装有IIS服务的系统,所以普通用户不需担心。

若发现本机试图访问其他主机的80端口,则应检查自己系统中是否有此病毒了。

··[9:04:18] 218.2.140.13试图连接本机的FTP Open Server【21】端口,

TCP标志:S,

该操作被拒绝。

这个也分两种,一种是有人想探测你的主机是不是开放了21端口,想看看共享资源;另一种是用扫描器扫ip段的ftp服务端口,一般没什么恶意。21端口是 FTP服务所开放的端口,导致这条记录出现的大部分原因是一些网虫在使用ftp搜索软件看哪些电脑开放了FTP,以寻求软件、电影的下载。

··[23:08:34] 221.208.47.102试图连接本机的Wingate[1080]端口,

TCP标志:S,

该操作被拒绝。

这个是有人扫描ip段中的代理服务器,一般代理服务器默认端口常见的如Wingate[1080],ccproxy[808,1080]等等,也没什么关系。

··[18:58:37] 10.186.210.96试图连接本机的Blazer 5[5000]端口,

TCP标志:S,

该操作被拒绝。

系统因素:Blazer 5[5000]端口是winxp的服务器端口,WindowsXP默认启动的 UPNP服务,没有病毒木马也是打开的,大家看到的报警一般属于这种情况,因为本地或远程主机的5000端口服务异常,导致不断连接5000端口。

木马因素:有些木马也开放此端口,如木马blazer5开放5000端口,木马Sockets de roie开放5000、5001、5321端口等!

··[19:55:55] 接收到 218.18.95.163 的 UDP 数据包,

本机端口: 1214 ,

对方端口: OICQ Server[8000]

该包被拦截。

[19:55:56] 接收到 202.104.129.254 的 UDP 数据包,

本机端口: 4001 ,

对方端口: OICQ Server[8000]

该包被拦截。

腾讯QQ服务器端开放的就是8000端口.一般是qq服务器的问题,因为接受不到本地的客户响应包,而请求不断连接,还有一种可能就是主机通过qq服务器转发消息,但服务器发给对方的请求没到达,就不断连接响应了(TCP连续三次握手出错了,我是这么认为的,我研究不深,具体没找到权威资料,可能说的不对,欢迎指正)

··[7:49:36] 接收到 64.74.133.9 的 UDP 数据包,

本机端口: 33438 ,

对方端口: 10903

该包被拦截。

这种情况一般是游戏开放的服务端口,一般范围在27910~~27961,因此来自这一端口范围的UDP包或发送到这一端口范围的UDP包通常是游戏

。爱好游戏的朋友会收到类似的端口连接。比如启动CS后创建了两个端口44405和55557。奇迹服务器好象是55960和55962端口。

··[18:34:16] 接收到 210.29.14.86 的 UDP 数据包,

本机端口: 6884 ,

对方端口: 6881

该包被拦截。

这个是BT服务端口(6881~~6889),每个bt线程占用一个端口,据说只能开9个,但有时候防火墙报警,原因是防火墙过滤了这些端口。开放这些端口或关闭防火墙才能用BT。多说几句,何大哥有时候喜欢整几个限制下载的软件,因此楼上的不能用BT,因为他的电脑做主机限制了这些端口,不能使其BT端口全部打开。解决方法:端口映射,换默认端口!

一般高端端口没有什么好担心的,这是有人在用扫IP的软件在扫IP地址而正好扫到你的IP地址段,此类软件对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。所以天网防火会报警,而且会拦截对方的IP,如果实在太烦,你可以把你的那个端口关掉。

【⑶】:日志记录的攻击性记录

常见的有洪水攻击SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻击。

··SYN Flood洪水攻击:

[11:13:55] 接收到210.29.14.130的SYN Flood攻击,

该操作被拒绝。

··IGMP数据包攻击:

[23:11:48] 接收到210.29.14.130的IGMP数据包

该包被拦截

[23:11:48] 接收到210.29.14.130的IGMP数据包

该包被拦截

这是日志中最常见最普遍的攻击形式。IGMP(Internet Group Management Protocol)是用于组播的一种协议,实际上是对Windows的用户是没什么用途的,但由于Windows中存在IGMP漏洞,当向安装有 Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时,会导致系统TCP/IP栈崩溃,系统直接蓝屏或死机,这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则,只要选中就可以了。

碰到这种情况可以分两种:一种是你得罪他了,和你有仇;另一种就是攻击者吃饱了撑的或是一个破坏狂,这种人一般就一个人住,做点坏事也没别人知道的。品格有点小恙,遇到了,多注意点吧。

【⑷】真正想入侵的日志这样的,应该注意:

··[11:13:55] 219.130.135.151试图连接本机的3389端口,

TCP标志:S,

该操作被拒绝。

这种应该引起重视,3389这么恐怖的事情都来,菜鸟的最爱。

··[11:13:55] 210.29.14.130试图连接本机的1433端口,

TCP标志:S,

该操作被拒绝。

远程溢出,溢出的SYSTEM32就可以做CMD在你电脑上起作用,你整个电脑就在对方控制中了。

··[11:13:55] 210.29.14.130试图连接本机的23端口,

TCP标志:S,

该操作被拒绝。

··[11:13:55] 210.29.14.130试图连接本机的4899端口,

TCP标志:S,

该操作被拒绝。

以上两个不知道自己去网上查。

··[5:49:55] 61.114.78.110 试图连接本机的7626端口

TCP标志:S

该操作被拒绝

冰河木马的端口,黑客迷们的最爱

··[11:13:55] 210.29.14.130试图连接本机6267端口,

TCP标志:S,

该操作被拒绝。

广外女生木马的默认端口,很经典的一个国产木马

··[11:13:55] 210.29.14.130试图连接本机5328端口,

TCP标志:S,

该操作被拒绝。

风雪木马的默认端口

这几条记录就要注意一下,假如你没有中木马,也就没有打7626这几个端口,当然没什么事。而木马如果已植入你的机子,你已中了木马,木马程序自动打开这几个端口,迎接远方黑客的到来并控制你的机子。但你装了防火墙以后,一般即使你中了木马,该操作也会被禁止,黑客拿你也没办法。但这是常见的木马,防火墙会给出相应的木马名称,而对于不常见的木马,天网只会给出连接端口号,这时就得靠你的经验和资料来分析该端口的是和哪种木马相关联,从而判断对方的企图,并采取相应措施,封了那个端口。

另外还有一些:

··[6:14:20] 192.168.0.110 的【1294】端口停止对本机发送数据包

TCP标志:F A

继续下一规则

[6:14:20] 本机应答192.168.0.110的【1294】端口

TCP标志:A

继续下一规则

从上面两条规则看就知道发送数据包的机子是局域网里的机子,而且本机也做出了应答,因此说明此条数据的传输是符合规则的。为何有此记录,那是你在天网防火墙规则中选了“TCP数据包监视”,这样通过TCP传输的数据包都会被记录下来,所以大家没必要以为有新的记录就是人家在攻击你,上面的日志是正常的,别怕!UDP监视查找IP可以利用这个道理。

··补充一个非天网相关的问题,也是楼上田大哥提出来的:关机时出现提示“有1用户已登入到你的计算机,\\***,是否切断与他的联系”

一、你中了木马,当木马的服务器(黑客)发出指令PING所有客户端,如果你的防火墙好就被拦截了,出现“[16:39:29] 218.74.?.? 尝试用Ping 来探测本机,该操作被拒绝”的情况,没有防火墙,只有杀毒软件,就被入侵了,关机时出现“有1用户已登入到你的计算机\\***,是否切断与他的联系”的情况。

关于如何防范,不想长篇大论了!网上资料也很多的。写这些东西也不是为菜鸟解颐,因为想学习的人是不会等着别人的总结的。个人能力有限啊,遗漏之处以后再整理添加。

天网使用教程:,愿意且有空可以看看,其实自己多摸索就足够了。动手比看教程好。

3条大神的评论

  • avatar
    访客 2022-07-03 上午 09:26:10

    你的电脑的存在。这种情况只是简单的ping命令探测,如:ping 210.29.14.130就会出现如下日志:[11:13:35] 接收到 210.29.14.1

  • avatar
    访客 2022-07-03 下午 02:17:03

    ,还有一种可能就是主机通过qq服务器转发消息,但服务器发给对方的请求没到达,就不断连接响应了(TCP连续三次握手出错了,我是这么认为的,我研究不深,具体没找到权威资料,可能说的不对,欢迎指正)··[7:49:36] 接收到

  • avatar
    访客 2022-07-03 下午 02:34:42

    NetBIOS知道你的电脑中的一切!小提示:“NetBIOS”是网络的输入输出系统,尽管现在TCP/IP 协议成为广泛使用的传输协议,但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。尽管在《天网防火墙》的监控下,此隐患并没有被利用。但我们不能无动

发表评论