透过防火墙日志看系统安全
在《天网防火墙》中,假定你收到类似这样的信息,它的意思是:在18:29:20这个时刻,来自于IP地址为61.128.89.××的用户试图连接你的电脑,并扫描你的电脑是否开放了80端口(这是Web服务要开放的端口)。
如果经常收到来自外部IP高端口(大于1024)发起的类似TCP的连接请求,你得小心对方电脑是否中了“红色代码”,并试图攻击你(也有可能是人为使用软件攻击)。由于此病毒只传染装有IIS服务的系统,所以普通用户不需担心。
如果担心自己的Web服务器被“红色代码”病毒入侵,可以在服务器上安装防火墙,并设置应用程序规则进行拦截。若发现本机试图访问其他主机的80端口,则应检查自己系统中是否有此病毒了。
3.ping探测攻击
在《天网防火墙》的日志中还会记录某些用户持续对本机进行ping的log,有时也表现为来自多个地址对本机进行ping攻击(图2)。在排除了人为进行的ping之外,要注意可能是来自于源地址机器中有类似于“冲击波”等病毒在作怪。因此,对于本机来讲,刻不容缓的事情就是要安装微软的“冲击波”补丁。
图2
4.IGMP攻击
IGMP对于Windows普通用户没什么用途,但由于Win9X操作系统的内核缺陷,其自身存在一个IGMP漏洞,因此有人会利用这个漏洞向指定主机发送大量的IGMP数据包,使Windows 操作系统的网络层受到破坏,导致死机,这在防火墙日志中也会有记载(图3)。对付这类情况最好安装上IGMP数据包的补丁。
图3
不过,有时收到这样的提示信息也并不表示一定就是黑客或者病毒在攻击,在一个局域网中也会经常收到来自于网关的类似数据包;再有一些有视频广播服务的机器也会对用户发送这样的数据包,因此不用过于惊慌。
要特别说明的是,不是所有被拦截的数据包都意味着有人在攻击你,有些正常的数据包会由于你设置的安全级别过高而不符合安全规则,也会被拦截并报警。
最新相关文章发表评论