3.常見報警之qq聊天服務(wù)器

[19:55:55] 接收到 218.18.95.163 的 UDP 數(shù)據(jù)包,

本機端口: 1214 ，

對方端口: OICQ Server[8000]

該包被攔截。

[19:55:56] 接收到 202.104.129.254 的 UDP 數(shù)據(jù)包，

本機端口: 4001 ，

對方端口: OICQ Server[8000]

該包被攔截。

這個防火墻日志是昨天在校園網(wǎng)的“談天說地”上抄下來的,騰訊QQ服務(wù)器端開放的就是8000端口.一般是qq服務(wù)器的問題，因為接受不到本地的客戶響應(yīng)包，而請求不斷連接，還有一種可能就是主機通過qq服務(wù)器轉(zhuǎn)發(fā)消息，但服務(wù)器發(fā)給對方的請求沒到達，就不斷連接響應(yīng)了(TCP三次握手出錯了，我是這么認為的，具體沒找到權(quán)威資料，可能說的不對，歡迎指正)

4.共享端口之135,139,445（一般在局域網(wǎng)常見）

又要分幾種情況：

135端口是用來提供RPC通信服務(wù)的，445和139端口一樣，是用來提供文件和打印機共享服務(wù)的。

[20:01:36] 218.8.124.230試圖連接本機的NetBios-SSN[139]端口，

TCP標(biāo)志：S，

該操作被拒絕。

[16:47:24] 60.31.133.146試圖連接本機的135端口，

TCP標(biāo)志：S，

該操作被拒絕。

[16:47:35] 60.31.135.195試圖連接本機的CIFS[445]端口，

TCP標(biāo)志：S，

該操作被拒絕。

第一種：正常情況,局域網(wǎng)的機器共享和傳輸文件(139端口)。

第二種：連接你的135和445端口的機器本身應(yīng)該是被動地發(fā)數(shù)據(jù)包，或者也有可能是正常的、非病毒的連接——雖然這個可能性比較小。

第三種：無聊的人掃描ip段，這個也是常見的，初學(xué)黑客技術(shù)都這樣，十足的狂掃迷，但往往什么也沒得到，這種人應(yīng)該好好看看TCP/IP協(xié)議原理。

第四種：連接135端口的是沖擊波（Worm.Blaster）病毒，“嘗試用Ping來探測本機”也是一種沖擊波情況（internet），這種135端口的探測一般是局域網(wǎng)傳播，現(xiàn)象為同一個ip不斷連接本機135端口，此時遠程主機沒打沖擊波補丁，蠕蟲不斷掃描同一ip段(這個是我自己的觀點，沖擊波的廣域網(wǎng)和局域網(wǎng)傳播方式估計不同吧，歡迎指正！)

第五種：某一IP連續(xù)多次連接本機的NetBios-SSN[139]端口，表現(xiàn)為時間間隔短，連接頻繁。

防火墻日志中所列計算機此時感染了“尼姆達病毒”。感染了“尼姆達病毒”的計算機有一個特點，它們會搜尋局域網(wǎng)內(nèi)一切可用的共享資源，并會將病毒復(fù)制到取得完全控制權(quán)限的共享文件夾內(nèi)，以達到病毒傳播之目的。這種人應(yīng)該同情下，好好殺毒吧！

【編輯推薦】

1. 防火墻常見日志詳細分析（1）
2. 防火墻常見日志詳細分析（3）
3. 防火墻常見日志詳細分析（4）
4. 防火墻常見日志詳細分析（5）