从防火墙日志解析网络安全.docVIP

从防火墙日志解析网络安全 现在人为了使自己的网络更加安全，都安装了各种网络防火墙软件。大部分防火墙软件都拥有日志功能，我们可以通过从日志中拦截下来的数据包日志来了解自己受到了什么样的攻击。我们以天网防火墙为列。 图1 如图1。一般日志记录都会有很多重复的内容，为方便叙述，我们举列出日志记录，如 图2 图2。我们可以看到，每条日志记录都是由三行组成： 第一行记录代表数据包的发送/接受时间、发送者IP地址、对方通信端口、数据包类型、本机通讯端口等情况。 第二行为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，天网在显示标志位时取这六个标志位的第一个字母即A代表ASK、S代表SYN等 ，其中标志位ACK、SYN和FIN比较常用，简单含义如下： ●ACK：确认标志  提示远端系统已经成功接收所有数据  ●SYN：同步标志  该标志仅在建立TCP连接时有效，它提示TCP连接的服务端检查序列编号  ●FIN：结束标志  带有该标志位的数据包用来结束一个TCP会话，但对应端口仍处于开放状态，请准备接受后续数据。 ●RST：复位标志，具体作用未知　　 第三行对数据包的处理方法。对于不符合规则的数据包会被拦截或拒绝，对符合规则但被设置为监视的数据包会显示为“继续下一规则”。 下面我们列举几种记录进行分析。 1 [11：30：46] 271 尝试用ping 来探测本机， TCP标识：S 该操作被拒绝。 该记录显示了在11：30：46时，从地址271向你的电脑发出ping命令来探测主机信息，但被拒绝了。人们用ping命令可以来确定一个合法的ip是否存在，当别人用ping命令来探测你的电脑时，如果你的电脑里安装了TCP/IP协议，就会返回一个回应ICMP包，如果你在防火墙规则中设置了“防止别人用ping命令探测主机”，如图3。你的电脑则不会返回给对方这种ICMP包，这样别人就无法用ping命令探测你的电脑了。如果在日志中 图3 从该地址发来的ping命令只有一条，这倒没什么值得注意的，如果连接不断的显示有很多来自同一个IP地址的记录，这时你就要注意了，很可能有人在利用黑客工具探测你的主机信息，如果一个不怀好意的人探测出你的IP之后，可能就不是一件好事了。 2 [11：30：46] 271 试图连接本机的 HTTP[80]端口， TCP标识：S 该操作被拒绝。 众所周知，本纪的 HTTP[80]端口是 HTTP协议的端口，主要进行HTPP协议数据的交换，比如网页的浏览，或者提供WEB服务。对于服务器来说，该记录表示有人通过这个端口进入服务器访问网页。对于个人电脑来说一般是没有提供这项服务的，如果在日志中连续出现了大量的类似记录，而且来源IP和端口号都是不定的，但TCP标识都为S（即连接请求）的话，你可能是受到了SYN洪水攻击。 出现这种日志记录时，还有一种情况就是服务器受到了“红色代码”病毒的攻击。“红色代码”病毒是利用“缓冲区溢出”的漏洞入侵安装了ISS的服务器，并对它进行控制和破坏的。它的传染机制就是利用所控制的服务器进行网络探测，一旦发现有提供80端口WEB的服务器，就尝试利用“缓冲区溢出”的漏洞进行传染。正因为如此，当有很多台服务器都被传染了“红色代码”病毒之后，它们就会不停的对周边主机发出TCP的SYN数据包。这种情况就会越严重。一大堆服务器发出的SYN包可以等同于对网络进行着Dos攻击，这种情况也是很严重的。 3 [11：30：46] 271 试图连接本机的 木马冰河[7626]端口， TCP标识：S 该操作被拒绝。 这是一个很危险的记录，说明有人正试图通过网络来连接你电脑中的冰河木马端口。通常，黑客们在试图通过木马连接到你的电脑之钱，会首先确定你的电脑中是不是已经打开了该木马程序所需要的端口，也就是看看你的电脑是不是已经安装了木马的服务器端程序。在没有防火墙的情况下，木马服务器程序会响应连续，黑客就可以通过服务器端程序对你进行控制。但现在这个操作被拒绝后，即使你的系统已经中了冰河木马，也不会对这个连接请示产生回应，这样黑棵就会认为你的电脑没有中木马。一般来说对于常见的木马端口，天网会提示出相应的木马名称，但是对于不常见的木马端口，天网只会给出连接的端口号，而不会给出木马提示，如第4条记录中的情形。也有一些防火墙对于常见的端口也不会给出对应的 木马名称，这时你可以根据经验或者资料来分析该端口是和哪个木马程序相关联的，从而判断出对方的连接企图。如果你的日志中经常显示有来自某个IP地址的木马端口扫描，你可以自行天家规则拒绝来自该地址的任何连接，如图4。 图4 5