防火墻日志并不復(fù)雜，但要看懂它還是需要了解一些基礎(chǔ)概念（如端口、協(xié)議等）。盡管每種防火墻日志不一樣，但在記錄方式上大同小異，主要包括：時間、允許或攔截（Accept或Block）、通訊類型、源IP地址、源端口、目標(biāo)地址和目標(biāo)端口等。本文將以《天網(wǎng)防火墻》日志為例，讓大家了解如何分析防火墻日志，進而找出系統(tǒng)漏洞和可能存在的攻擊行為。

　　《天網(wǎng)防火墻》會把所有不合規(guī)則的數(shù)據(jù)包攔截并記錄到日志中，如果你選擇了監(jiān)視所有TCP和UDP數(shù)據(jù)包，那你發(fā)送和接收的每個數(shù)據(jù)包都將被記錄。

　　1.139端口攻擊

　　如圖1所示的日志表明：來自于局域網(wǎng)內(nèi)的一臺電腦正試圖訪問你電腦的139端口，但該操作未能成功執(zhí)行。

圖1

　　139端口是NetBIOS協(xié)議所使用的端口，在安裝了TCP/IP 協(xié)議的同時，NetBIOS 也會被作為默認設(shè)置安裝到系統(tǒng)中。139端口的開放意味著硬盤可能會在網(wǎng)絡(luò)中共享；網(wǎng)上黑客也可通過NetBIOS知道你的電腦中的一切!

　　小提示：“NetBIOS”是網(wǎng)絡(luò)的輸入輸出系統(tǒng)，盡管現(xiàn)在TCP/IP 協(xié)議成為廣泛使用的傳輸協(xié)議，但是NetBIOS提供的NetBEUI 協(xié)議在局域網(wǎng)中還在被廣泛使用。

　　盡管在《天網(wǎng)防火墻》的監(jiān)控下，此隱患并沒有被利用。但我們不能無動于衷，應(yīng)想辦法把這個漏洞補上。對于連接到互聯(lián)網(wǎng)上的機器，NetBIOS完全沒有用處，可以將它去掉。

　　那么如何知曉這個來源地址的行為呢?如果是一個遠程地址，有可能是對方在用軟件進行掃描或者是病毒作怪，但圖1中的192.168.30.15X等地址和本機是在同一局域網(wǎng)中，且上機人員未用軟件攻擊，經(jīng)檢查發(fā)現(xiàn)這些電腦原來是中了“尼姆達病毒”。

　　在《天網(wǎng)防火墻》中，假定你收到類似這樣的信息，它的意思是：在18:29:20這個時刻，來自于IP地址為61.128.89.××的用戶試圖連接你的電腦，并掃描你的電腦是否開放了80端口（這是Web服務(wù)要開放的端口）。

　　如果經(jīng)常收到來自外部IP高端口（大于1024）發(fā)起的類似TCP的連接請求，你得小心對方電腦是否中了“紅色代碼”，并試圖攻擊你（也有可能是人為使用軟件攻擊）。由于此病毒只傳染裝有IIS服務(wù)的系統(tǒng)，所以普通用戶不需擔(dān)心。

　　如果擔(dān)心自己的Web服務(wù)器被“紅色代碼”病毒入侵，可以在服務(wù)器上安裝防火墻，并設(shè)置應(yīng)用程序規(guī)則進行攔截。若發(fā)現(xiàn)本機試圖訪問其他主機的80端口，則應(yīng)檢查自己系統(tǒng)中是否有此病毒了。

　　3.ping探測攻擊

　　在《天網(wǎng)防火墻》的日志中還會記錄某些用戶持續(xù)對本機進行ping的log，有時也表現(xiàn)為來自多個地址對本機進行ping攻擊（圖2）。在排除了人為進行的ping之外，要注意可能是來自于源地址機器中有類似于“沖擊波”等病毒在作怪。因此，對于本機來講，刻不容緩的事情就是要安裝微軟的“沖擊波”補丁。

圖2

　　4.IGMP攻擊

　　IGMP對于Windows普通用戶沒什么用途，但由于Win9X操作系統(tǒng)的內(nèi)核缺陷，其自身存在一個IGMP漏洞，因此有人會利用這個漏洞向指定主機發(fā)送大量的IGMP數(shù)據(jù)包，使Windows 操作系統(tǒng)的網(wǎng)絡(luò)層受到破壞，導(dǎo)致死機，這在防火墻日志中也會有記載（圖3）。對付這類情況最好安裝上IGMP數(shù)據(jù)包的補丁。

圖3

　　不過，有時收到這樣的提示信息也并不表示一定就是黑客或者病毒在攻擊，在一個局域網(wǎng)中也會經(jīng)常收到來自于網(wǎng)關(guān)的類似數(shù)據(jù)包；再有一些有視頻廣播服務(wù)的機器也會對用戶發(fā)送這樣的數(shù)據(jù)包，因此不用過于驚慌。

　　要特別說明的是，不是所有被攔截的數(shù)據(jù)包都意味著有人在攻擊你，有些正常的數(shù)據(jù)包會由于你設(shè)置的安全級別過高而不符合安全規(guī)則，也會被攔截并報警。