說起windows的日志,大家最熟悉的就是系統(tǒng)日志了,網(wǎng)上也有很多現(xiàn)成的工具來清除windows的系統(tǒng)事件.而對(duì)于windows系統(tǒng)防火墻的日志,可能都沒怎么重視.也沒有發(fā)現(xiàn)有專門清除防火墻日志的工具,雖然它只是一個(gè)txt文件。

本文將簡(jiǎn)單介紹一下windows自帶防火墻的日志格式,通過實(shí)際案例(3389遠(yuǎn)程桌面和lcx轉(zhuǎn)發(fā)內(nèi)網(wǎng)端口),來說明通過防火墻日志分析入侵痕跡的方式.

防火墻的配置跟大多數(shù)防火墻類似,就不贅述了.默認(rèn)情況下,防火墻的日志文件位于:

C:\windows\pfirewall.log

每個(gè)字段的含義如下,在pfirewall.log最開始有注釋.

一次3389遠(yuǎn)程桌面的連接日志：

都懂,ip在那擺著…

lcx轉(zhuǎn)發(fā)內(nèi)網(wǎng)端口的日志

lcx轉(zhuǎn)發(fā)內(nèi)網(wǎng)端口:192.168.31.205上執(zhí)行 lcx.exe -slave 192.168.31.201 2222 192.168.31.110 3389

日志處理過,把中間一些其他無關(guān)的給過濾掉了.可以看到特征還是很明顯的.會(huì)有兩個(gè)連接到201的2222端口.有一個(gè)連接到110的3389端口,剛好夾在兩個(gè)到2222端口的連接之間.從205的本地端口號(hào)可以很清晰的判斷(2328,2329,2330).后面幾行到201的2222端口,不斷打開關(guān)閉是由于先結(jié)束掉了201上監(jiān)聽的lcx進(jìn)程.這個(gè)特征也很明顯.可以基于這些來判斷端口被轉(zhuǎn)發(fā)到的目的地址.

lcx轉(zhuǎn)發(fā)本地端口:192.168.31.205上執(zhí)行 lcx.exe -slave 192.168.31.201 2222 127.0.0.1 3389

同樣,根據(jù)第一個(gè)案例,可以推斷出.205上應(yīng)該open3個(gè)連接.2個(gè)到201的2222端口.一個(gè)到127.0.0.1的3389端口.從日志中我們只看到了到201的2222端口,不過從端口號(hào)上可以看出,從2342到2344,中間的2343應(yīng)該是被占用了.只是到127.0.0.1的3389端口,流量沒有通過防火墻,沒有被記錄下來.從上面的分析可以看出.windows的自帶的防火墻IP追蹤方面還是有一些作用的.