|
天网防火墙设置图文说明(4)
|
|
来源: 作者:方舟 发布时间:2008-01-05
|
|
stvista
六、常见日志的分析(仅供参考)
使用防火墙关键是会看日志,看懂日志对分析问题是非常关键的,看下图,就是日志记录,上面记录了不符合规则的数据包被拦截的情况,通过分析日志就能知道自己受到什么攻击。下面来说说日志代表的意思,当然很多我也是知之甚少的,希望诸位坛友能给些更详细的解释和指正。
看上图,一般日志分为三行,第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母,他们的简单含义如下:
ACK:确认标志 --- 提示远端系统已经成功接收所有数据
SYN:同步标志 --- 该标志仅在建立TCP连接时有效,它提示TCP连接的服务端检查序列编号
FIN:结束标志 --- 带有该标志位的数据包用来结束一个TCP会话,但对应端口还处于开放状态,准备接收后续数据。
RST:复位标志,具体作用未知
其他不知道了,呵呵
第三行是对数据包的处理方法,对于不符合规则的数据包会拦截或拒绝,对符合规则的但被设为监视的数据包会显示为“继续下一规则”。
下面举些常见典型例子来讲讲:
记录1:[22:30:56] 202、121、0、112 尝试用PING来探测本机
TCP标志: S
该操作被拒绝
该记录显示了在22:30:56时,从IP地址202、121、0、112 向你的电脑发出PING命令来探测主机信息,但被拒绝了。
人们用PING命令来确定一个合法IP是否存在,当别人用PING命令来探测你的机器时,如果你的电脑安装了TCP/IP协议,就回返回一个回音ICMP包,如果你在防火墙规则里设置了“防止别人用PING命令探测主机”如图八里设置,你的电脑就不会返回给对方这种ICMP包,这样别人就无法用PING命令探测你的电脑,也就以为没你电脑的存在。如果偶尔一两条就没什么大惊小怪的,,但如果在日志里显示有N个来自同一IP地址的记录,那就有鬼了,很有可能是别人用扫描工具探测你主机信息,他想干什么?谁知道?
记录2:[5:29:11] 61、114、155、11试图连接本机的http[80]端口
TCP标志:S
该操作被拒绝
本机的http[80]端口是HTTP协议的端口,主要用来进行HTTP协议数据交换,比如网页浏览,提供WEB服务。对于服务器,该记录表示有人通过此端口访问服务器的网页,而对于个人用户一般没这项服务,如果个人用户在日志里见到大量来自不同IP和端口号的此类记录,而TCP标志都为S(即连接请求)的话,完了,你可能是受到SYN洪水攻击了。还有就是如“红色代码”类的病毒,主要是攻击服务器,也会出现上面的情况。
记录3:[5:49:55] 31、14、78、110 试图连接本机的木马冰河[7626]端口
TCP标志:S
该操作被拒绝
这就是个害怕的记录啦,假如你没有中木马,也就没有打开7626端口,当然没什么事。而木马如果已植入你的机子,你已中了冰河,木马程序自动打开7626端口,迎接远方黑客的到来并控制你的机子,这时你就完了,但你装了防火墙以后,即使你中了木马,该操作也被禁止,黑客拿你也没办法。但这是常见的木马,防火墙会给出相应的木马名称,而对于不常见的木马,天网只会给出连接端口号,这时就得*你的经验和资料来分析该端口的是和哪种木马程序相关联,从而判断对方的企图,并采取相应措施,封了那个端口。
记录4:[6:12:33] 接收到 228、121、22、55的IGMP数据包
该包被拦截
这是日志中最常见的,也是最普遍的攻击形式。IGMP(Internet Group Management Protocol)是用于组播的一种协议,实际上是对Windows的用户是没什么用途的,但由于Windows中存在IGMP漏洞,当向安装有Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时,会导致系统TCP/IP栈崩溃,系统直接蓝屏或死机,这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则,只要选中就可以了。
记录5:[6:14:20] 192、168、0、110 的1294端口停止对本机发送数据包
TCP标志:F A
继续下一规则
[6:14:20] 本机应答192、168、0、110的1294端口
TCP标志:A
继续下一规则
从上面两条规则看就知道发送数据包的机子是局域网里的机子,而且本机也做出了应答,因此说明此条数据的传输是符合规则的。为何有此记录,那是你在图八里防火墙规则中选了“TCP数据包监视”,这样通过TCP传输的数据包都会被记录下来,所以大家没要以为有新的记录就是人家在攻击你,上面的日志是正常的,别怕!呵呵!
防火墙的日志内容远不只上面几种,如果你碰到一些不正常的连接,自己手头资料和网上资料就是你寻找问题的法宝,或上防火墙主页上看看,这有助于你改进防火墙规则的设置,使你上网更安全。
七、在线升级功能
现在天网不断推出新的规则库,作为正式版用户当然可以享受这免费升级的待遇,只要在天网界面点击一下在线升级,不到2分钟就可以完成整个升级过程,即快捷又方便。
点击后出现一个在线升级网络设置的提示框,如果你没有使用代理上网的就不用设置,直接下一步安装规则包,这样就完成升级了。
升级后防火墙的自定义规则就会多了很多条防御木马的规则,只要使用自定义级别就可以了。不过选用自定义后,记得要把自定义里的IP规则选勾保存规则,这样日志才会有记录的。
八、总结
给大家说了一通了,也不知道大家能不能看懂,其实防火墙的作用就是保护自己真实IP的同时,监控各个端口,并给出日志,让大家分析并找出相应的对策,灵活应用防火墙能给自己机子带来比较高的安全性。当然有些病毒木马是诱导用户主动访问而感染的,就要*自己提高安全意识来防范了。总之,互联网大了,用的人多了,什么样的人都有,所以给自己机子上装个防火墙是必不可少的基本防御!
|
|
|
|
[ 收藏]
[ 推荐]
[ 评论(0条)]
[返回顶部] [打印本页]
[关闭窗口] |
|
|
| |
|
|
|
