防火墻日志記錄讓蠕蟲病毒無處可逃

2/1/2004來源:安全在線人氣:22388

  日志功能是防火墻很重要的功能之一,但是很多人卻并不重視,也從未仔細研究過日志的內容。日志記錄看似枯燥的數據(如圖),其實提供了大量寶貴的第一手資料,可以幫助我們更好地管理和維護網絡。


 
  近日經實踐發現,利用天網同樣可以知道哪臺計算機中了“尼姆達病毒”。下面就以兩個典型的天網日志為例,加以分析,供大家參考。

  范例一

  天網日志如下:

  [11:58:08] 10.100.2.68試圖連接本機的NetBios-SSN[139]端口,

  TCP標志:S,

  該操作被拒絕。

  [11:58:11] 10.100.2.68試圖連接本機的NetBios-SSN[139]端口,

  TCP標志:S,

  該操作被拒絕。

  [11:58:17] 10.100.2.68試圖連接本機的NetBios-SSN[139]端口,

  TCP標志:S,

  該操作被拒絕。

  [11:58:18] 10.100.2.74試圖連接本機的NetBios-SSN[139]端口,

  TCP標志:S,

  該操作被拒絕。

  特征:某一ip連續多次連接本機的NetBios-SSN[139]端口,表現為時間間隔短,連接頻繁。

   日志解讀 日志中所列計算機感染了“尼姆達病毒”。感染了“尼姆達病毒”的計算機有一個特點,它們會搜尋局域網內一切可用的共享資源,并會將病毒復制到取得完全控制權限的共享文件夾內,以達到病毒傳播之目的。

  范例二

  天網日志如下:

  [14:00:24] 10.100.2.246 嘗試用Ping來探測本機,

  該操作被拒絕。

  [14:01:09] 10.100.10.72 嘗試用Ping來探測本機,



河北快3走势图彩 广西快3开奖结果遗漏 吉林乐透麻将游戏大厅手机版 真钱捕鱼游戏是骗局吗 浙体育彩票20选五 福彩3d和值分布走势图 吉林11选五预测推荐 江西11选5查询 快3平台 青海快3走势图今天快3 股票分析师头像