日志功能是防火墙很重要的功能之一,但是很多人却并不重视,也从未仔细研究过日志的内容。日志记录看似枯燥的数据(如图),其实提供了大量宝贵的第一手资料,可以帮助我们更好地管理和维护网络。
近日经实践发现,利用天网同样可以知道哪台计算机中了“尼姆达病毒”。下面就以两个典型的天网日志为例,加以分析,供大家参考。
范例一
天网日志如下:
[11:58:08] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
[11:58:11] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
[11:58:17] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
[11:58:18] 10.100.2.74试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
特征:某一IP连续多次连接本机的NetBios-SSN[139]端口,表现为时间间隔短,连接频繁。
日志解读 日志中所列计算机感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点,它们会搜寻局域网内一切可用的共享资源,并会将病毒复制到取得完全控制权限的共享文件夹内,以达到病毒传播之目的。
范例二
天网日志如下:
[14:00:24] 10.100.2.246 尝试用Ping来探测本机,
该操作被拒绝。
[14:01:09] 10.100.10.72 尝试用Ping来探测本机,
该操作被拒绝。
[14:01:20] 10.100.2.101 尝试用Ping 来探测本机,
该操作被拒绝。
特征:多台不同IP的计算机试图利用Ping的方式来探测本机。
日志解读 日志中所列机器感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞,一旦发现,即把病毒传播到这些机器上。
安装建议:
天网防火墙最好安装在普通机器上,并且IP是不公开的。尤其注意不要安装在服务器上,因为服务器是大家经常要访问的,日志中所出现的情况很可能是人为造成的,所以可能会大大影响我们判断的准确性。
网络中的蠕虫病毒之所以能够流行,其特点就是它们会采用某种方式自动在网络上探测,寻找传播途径,而这一点恰恰会让它们安全软件的“照妖镜”中暴露无遗。当然,这还需要我们根据病毒的特点合理配置好安全软件。
天网防火墙日志
关于尼姆达
尼姆达病毒是一个新型蠕虫病毒,由JavaScript脚本语言编写,通过E-mail、共享网络资源、IIS服务器传播,同时它也是一个感染本地文件的新型病毒。病毒体长度57344字节,它修改在本地驱动器上的HTML和ASP文件。此病毒可以使IE和Outlook Express加载产生Readme.eml文件。该文件将尼姆达蠕虫作为一个附件包含,因此,不需要拆开或运行这个附件病毒就被执行。由于用户收到带毒邮件时无法看到附件,这样给防范带来困难,病毒也更具隐蔽性。
关于冲击波杀手
冲击波杀手(Worm.Welchia),该病毒会试图上网下载RPC漏洞补丁并运行,并且试图杀掉用户计算机中的“冲击波”病毒,另外,该病毒在2004年后可能会自动将自己从计算机中删除。该病毒虽然目的很好,但由于病毒本身编写得不完善,在传播的过程中,会造成网络阻塞。
相关视频
相关阅读 Mac和Windows哪个好 windows和mac os对比介绍Win10预览版怎么升级 Win10预览版升级方法厂商不再预装Win7或8.1系统,驱动人生帮您快速升级Mac移动硬盘安装win8 Mac将win装在移动硬盘使用教程windows10xboxone串流简单教程Windows Hello怎么用 Windows Hello使用设置教程win10怎么关闭自动更新 win10如何关闭自动更新Mac系统如何远程桌面到Windows系统
热门文章 没有查询到任何记录。
最新文章
防止DdoS攻击:通过路解析卡巴斯基特色之漏
网站被sql注入的修复方法Ubuntu破解Windows和防护的三种方法防黑客qq改密码技巧如何保证Foxmail泄露邮箱密码安全
人气排行 路由器被劫持怎么办?路由器DNS被黑客篡改怎防止DdoS攻击:通过路由器绕过DDoS防御攻击如何彻底清除电脑病毒?如何使用无忧隐藏无线路由防蹭网办法车模兽兽激情视频下载暗藏木马使用四款防黑客软件的体会怎么防止木马入侵
查看所有0条评论>>