防火墻日志分為三行：

第一行反映了數(shù)據(jù)包的發(fā)送、接受時間、發(fā)送者IP地址、對方通訊端口、數(shù)據(jù)包類型、本機通訊端口等等情況；

第二行為TCP數(shù)據(jù)包的標志位，共有六位標志位，分別是：URG、ACK、PSH、RST、SYN、FIN，在日志上顯示時只標出第一個字母；

日志第三行是對數(shù)據(jù)包的處理方法，對于不符合規(guī)則的數(shù)據(jù)包會攔截或拒絕，對符合規(guī)則的但被設為監(jiān)視的數(shù)據(jù)包會顯示為“繼續(xù)下一規(guī)則”。

1.最常見的報警，嘗試用ping來探測本機

分為兩種：

如果在防火墻規(guī)則里設置了“防止別人用PING命令探測主機”，你的電腦就不會返回給對方這種ICMP包，這樣別人就無法用PING命令探測你的電腦，也就以為沒你電腦的存在。如果偶爾一兩條沒什么，但如果顯示有N個來自同一IP地址的記錄，很有可能是別人用黑客工具探測你主機信息。

[11:13:35] 接收到 210.29.14.136 的 ICMP 數(shù)據(jù)包，

類型: 8 ， 代碼: 0，

該包被攔截。

這種情況只是簡單的ping命令探測，如：ping 210.29.14.130就會出現(xiàn)如上日志。

[14:00:24] 210.29.14.130 嘗試用Ping來探測本機，

該操作被拒絕。

這種情況一般是掃描器探測主機，主要目的是探測遠程主機是否連網(wǎng)！但還有一種可能，如果多臺不同IP的計算機試圖利用Ping的方式來探測本機。如下方式(經(jīng)過處理了，ip是假設的)：

[14:00:24] 210.29.14.45 嘗試用Ping來探測本機，

該操作被拒絕。

[14:01:09] 210.29.14.132 嘗試用Ping來探測本機，

該操作被拒絕。

[14:01:20] 210.29.14.85 嘗試用Ping 來探測本機，

該操作被拒絕。

[14:01:20] 210.29.14.68 嘗試用Ping 來探測本機，

該操作被拒絕。

此時就不是人為的原因了，所列機器感染了沖擊波類病毒。感染了“沖擊波殺手”的機器會通過Ping網(wǎng)內(nèi)其他機器的方式來尋找RPC漏洞，一旦發(fā)現(xiàn)，即把病毒傳播到這些機器上。

2.對于windows xp系統(tǒng)常見的報警

也分兩種情況:

[18:58:37] 10.186.210.96試圖連接本機的Blazer 5[5000]端口，

TCP標志：S，

該操作被拒絕。

系統(tǒng)因素：Blazer 5[5000]端口是winxp的服務器端口，WindowsXP默認啟動的 UPNP服務，沒有病毒木馬也是打開的，大家看到的報警一般屬于這種情況，因為本地或遠程主機的5000端口服務異常，導致不斷連接5000端口。

木馬因素：有些木馬也開放此端口，如木馬blazer5開放5000端口，木馬Sockets de roie開放5000、5001、5321端口等！但我看也沒多少人用這種木馬！

【編輯推薦】

1. 防火墻常見日志詳細分析（2）
2. 防火墻常見日志詳細分析（3）
3. 防火墻常見日志詳細分析（4）
4. 防火墻常見日志詳細分析（5）