防火墻日志分為三行：

第一行反映了數(shù)據(jù)包的發(fā)送、接受時(shí)間、發(fā)送者IP地址、對(duì)方通訊端口、數(shù)據(jù)包類型、本機(jī)通訊端口等等情況；

第二行為TCP數(shù)據(jù)包的標(biāo)志位，共有六位標(biāo)志位，分別是：URG、ACK、PSH、RST、SYN、FIN，在日志上顯示時(shí)只標(biāo)出第一個(gè)字母；

日志第三行是對(duì)數(shù)據(jù)包的處理方法，對(duì)于不符合規(guī)則的數(shù)據(jù)包會(huì)攔截或拒絕，對(duì)符合規(guī)則的但被設(shè)為監(jiān)視的數(shù)據(jù)包會(huì)顯示為“繼續(xù)下一規(guī)則”。

1.最常見的報(bào)警，嘗試用ping來探測本機(jī)

分為兩種：

如果在防火墻規(guī)則里設(shè)置了“防止別人用PING命令探測主機(jī)”，你的電腦就不會(huì)返回給對(duì)方這種ICMP包，這樣別人就無法用PING命令探測你的電腦，也就以為沒你電腦的存在。如果偶爾一兩條沒什么，但如果顯示有N個(gè)來自同一IP地址的記錄，很有可能是別人用黑客工具探測你主機(jī)信息。

[11:13:35] 接收到 210.29.14.136 的 ICMP 數(shù)據(jù)包，

類型: 8 ， 代碼: 0，

該包被攔截。

這種情況只是簡單的ping命令探測，如：ping 210.29.14.130就會(huì)出現(xiàn)如上日志。

[14:00:24] 210.29.14.130 嘗試用Ping來探測本機(jī)，

該操作被拒絕。

這種情況一般是掃描器探測主機(jī)，主要目的是探測遠(yuǎn)程主機(jī)是否連網(wǎng)！但還有一種可能，如果多臺(tái)不同IP的計(jì)算機(jī)試圖利用Ping的方式來探測本機(jī)。如下方式(經(jīng)過處理了，ip是假設(shè)的)：

[14:00:24] 210.29.14.45 嘗試用Ping來探測本機(jī)，

該操作被拒絕。

[14:01:09] 210.29.14.132 嘗試用Ping來探測本機(jī)，

該操作被拒絕。

[14:01:20] 210.29.14.85 嘗試用Ping 來探測本機(jī)，

該操作被拒絕。

[14:01:20] 210.29.14.68 嘗試用Ping 來探測本機(jī)，

該操作被拒絕。

此時(shí)就不是人為的原因了，所列機(jī)器感染了沖擊波類病毒。感染了“沖擊波殺手”的機(jī)器會(huì)通過Ping網(wǎng)內(nèi)其他機(jī)器的方式來尋找RPC漏洞，一旦發(fā)現(xiàn)，即把病毒傳播到這些機(jī)器上。

2.對(duì)于windows xp系統(tǒng)常見的報(bào)警

也分兩種情況:

[18:58:37] 10.186.210.96試圖連接本機(jī)的Blazer 5[5000]端口，

TCP標(biāo)志：S，

該操作被拒絕。

系統(tǒng)因素：Blazer 5[5000]端口是winxp的服務(wù)器端口，WindowsXP默認(rèn)啟動(dòng)的 UPNP服務(wù)，沒有病毒木馬也是打開的，大家看到的報(bào)警一般屬于這種情況，因?yàn)楸镜鼗蜻h(yuǎn)程主機(jī)的5000端口服務(wù)異常，導(dǎo)致不斷連接5000端口。

木馬因素：有些木馬也開放此端口，如木馬blazer5開放5000端口，木馬Sockets de roie開放5000、5001、5321端口等！但我看也沒多少人用這種木馬！

【編輯推薦】

1. 防火墻常見日志詳細(xì)分析（2）
2. 防火墻常見日志詳細(xì)分析（3）
3. 防火墻常見日志詳細(xì)分析（4）
4. 防火墻常見日志詳細(xì)分析（5）