当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 防火墙日志记录让蠕虫病毒无处可逃

安全基础
网管技术:常见BIOS报错信息及解决方法
分布式拒绝服务(DDOS)攻击及防范研究
四种宽带接入方式及其传输速率
网管必读 解读无线网络的七大安全困惑
经验:识别系统的非法进程及剿杀
全面清除系统垃圾的方法
QQ、网游等账号防盗防骗的实用小经验
上网前保证Windows XP系统安全的办法
七种DDoS攻击技术方法简介
硬盘与内存检测 四种查毒绝招
当网站注册时输入验证码总是不正确解决方法
不让自己的秘密留在别人的电脑中
IE崩溃遭难不求人 快速简单处理方法
损招 让应用程序莫名其妙地失效
不再弹广告 破除隐身僵尸木马的隐身妖术
利用QQ传播 网络欺骗“绑架”奥运会
渗透测试的攻与守 认清网络面临的问题
手动剿杀“上兴远程控制”木马
个人电脑防黑客入侵八准则
关注Windows系统服务中的安全隐患

安全基础 中的 防火墙日志记录让蠕虫病毒无处可逃


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 38 ::
收藏到网摘: n/a

 

  日志功能是防火墙很重要的功能之一,但是很多人却并不重视,也从未仔细研究过日志的内容。日志记录看似枯燥的数据(如图),其实提供了大量宝贵的第一手资料,可以帮助我们更好地管理和维护网络。


 
  近日经实践发现,利用天网同样可以知道哪台计算机中了“尼姆达病毒”。下面就以两个典型的天网日志为例,加以分析,供大家参考。

  范例一

  天网日志如下:

  [11:58:08] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,

  TCP标志:S,

  该操作被拒绝。

  [11:58:11] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,

  TCP标志:S,

  该操作被拒绝。

  [11:58:17] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,

  TCP标志:S,

  该操作被拒绝。

  [11:58:18] 10.100.2.74试图连接本机的NetBios-SSN[139]端口,

  TCP标志:S,

  该操作被拒绝。

  特征:某一IP连续多次连接本机的NetBios-SSN[139]端口,表现为时间间隔短,连接频繁。

   日志解读 日志中所列计算机感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点,它们会搜寻局域网内一切可用的共享资源,并会将病毒复制到取得完全控制权限的共享文件夹内,以达到病毒传播之目的。

  范例二

  天网日志如下:

  [14:00:24] 10.100.2.246 尝试用Ping来探测本机,

  该操作被拒绝。

  [14:01:09] 10.100.10.72 尝试用Ping来探测本机,