防火墙常见日志详细分析(2)
3.常见报警之qq聊天服务器
[19:55:55] 接收到 218.18.95.163 的 UDP 数据包,
本机端口: 1214 ,
对方端口: OICQ Server[8000]
该包被拦截。
[19:55:56] 接收到 202.104.129.254 的 UDP 数据包,
本机端口: 4001 ,
对方端口: OICQ Server[8000]
该包被拦截。
这个防火墙日志是昨天在校园网的“谈天说地”上抄下来的,腾讯QQ服务器端开放的就是8000端口.一般是qq服务器的问题,因为接受不到本地的客户响应包,而请求不断连接,还有一种可能就是主机通过qq服务器转发消息,但服务器发给对方的请求没到达,就不断连接响应了(TCP三次握手出错了,我是这么认为的,具体没找到权威资料,可能说的不对,欢迎指正)
4.共享端口之135,139,445(一般在局域网常见)
又要分几种情况:
135端口是用来提供RPC通信服务的,445和139端口一样,是用来提供文件和打印机共享服务的。
[20:01:36] 218.8.124.230试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
[16:47:24] 60.31.133.146试图连接本机的135端口,
TCP标志:S,
该操作被拒绝。
[16:47:35] 60.31.135.195试图连接本机的CIFS[445]端口,
TCP标志:S,
该操作被拒绝。
第一种:正常情况,局域网的机器共享和传输文件(139端口)。
第二种:连接你的135和445端口的机器本身应该是被动地发数据包,或者也有可能是正常的、非病毒的连接——虽然这个可能性比较小。
第三种:无聊的人扫描ip段,这个也是常见的,初学黑客技术都这样,十足的狂扫迷,但往往什么也没得到,这种人应该好好看看TCP/IP协议原理。
第四种:连接135端口的是冲击波(Worm.Blaster)病毒,“尝试用Ping来探测本机”也是一种冲击波情况(internet),这种135端口的探测一般是局域网传播,现象为同一个ip不断连接本机135端口,此时远程主机没打冲击波补丁,蠕虫不断扫描同一ip段(这个是我自己的观点,冲击波的广域网和局域网传播方式估计不同吧,欢迎指正!)
第五种:某一IP连续多次连接本机的NetBios-SSN[139]端口,表现为时间间隔短,连接频繁。
防火墙日志中所列计算机此时感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点,它们会搜寻局域网内一切可用的共享资源,并会将病毒复制到取得完全控制权限的共享文件夹内,以达到病毒传播之目的。这种人应该同情下,好好杀毒吧!
【编辑推荐】
- 防火墙常见日志详细分析(1)
- 防火墙常见日志详细分析(3)
- 防火墙常见日志详细分析(4)
- 防火墙常见日志详细分析(5)