天網防火牆

“安全防火牆報警了，我是不是受到******了？是否***已經***了我的電腦啊？”、

“快來看!天網防火牆怎麼出現紅色驚歎号了？”。

      不要急，這證明咱們的防火牆發揮了作用，它把不合規則的資料包攔截下來了。要知道誰在做壞事，打開主界面上的“日志”按鈕（點選主界面像“鉛筆”一樣的按鈕即進入日志界面）便一目了然，在日志中我們能很清楚地發現***者的IP位址、***時間、試圖***的端口号等詳細資訊。

　　防火牆日志簡明而又全面。防火牆日志一向是天書：TCP、UDP，再加上TCP SYN……明白的看得簡直頭暈，不明白的看起來心慌。其實日志是防火牆很重要的功能，但很多人卻不重視，也未仔細研究過日志内容。日志記錄看似枯燥的資料，其實提供了大量寶貴的第一手資料，幫助我們更好地管理和維護網絡。

      是以我來說明常見的天網防火牆日志，都表示些什麼。點選天網主界面右上方的“日志”按鈕，會看到如下資訊：

      一般日志分為三行：

      第一行： 

      反映了資料包的發送、接受時間、發送者IP位址、對方通訊端口、資料包類型、本機通訊端口等等情況；

      第二行：：

      為TCP資料包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，天網在顯示标志位時取這六個标志位的第一個字母即A代表ASK、S代表SYN等 ，其中标志位ACK、SYN和FIN比較常用，簡單含義如下：

      ACK：确認标志 

　　提示遠端系統已經成功接收所有資料 

　　SYN：同步标志 

　　該标志僅在建立TCP連接配接時有效，它提示TCP連接配接的服務端檢查序列編号 

　　FIN：結束标志 

　　帶有該标志位的資料包用來結束一個TCP會話，但對應端口還處于開放狀态，準備接收後續資料。 

      RST：複位标志，具體作用未知

　　 第三行：

      對資料包的處理方法：

      對于不符合規則的資料包會攔截或拒絕，顯示為：“該操作被拒絕”，意思是，此操作被天網防火牆攔截了！也就是對方根本不知道你的存在！

      對符合規則的但被設為監視的資料包會顯示為“繼續下一規則”。 

[10:41:30] 接收到218.2.140.13的IGMP資料包，

        該包被攔截。

      這條日志出現的頻率很高。IGMP的全稱是internet組管理協定，它是IP協定的擴充，主要用于IP主機向它鄰近主機通知組成員身份。通常出現這條日志并不表明電腦受到***，不過***可以通過編寫***程式，利用windows本身的BUG，采用特殊格式資料包向目标電腦發動***，使被***電腦的作業系統藍屏、當機。藍屏×××一般用的就是IGMP協定。

      一般形成IGMP***時，會在日志中顯示為大量來自于同一IP位址的IGMP資料包。

      不過，有時收到這樣的提示資訊也并不一定是***或病毒在***，在區域網路中也會常收到來自網關的類似資料包；再有一些有視訊廣播服務的機器也會對使用者發送這樣的資料包，是以不用過于驚慌。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[7:11:04] 接收到 61.132.112.236 的 UDP 資料包，

    本機端口: 47624 ，

    對方端口: 40627 

    該包被攔截。

      沒有什麼好擔心的，這是有人在用掃ＩＰ的軟體在掃ＩＰ位址而正好掃到你的ＩＰ位址段,此類軟體對被***主機的不同端口發送TCP或UDP連接配接請求，探測被***對象運作的服務類型。特别是對21、23、25、53、80、8000、8080等以外的非常用端口的連接配接請求。是以天網防火會報警,而且會攔截對方的IP，如果實在太煩，你可以把你的那個端口關掉。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[9:04:18] 218.2.140.13試圖連接配接本機的Http【80】端口，

      TCP标志：S，

      該操作被拒絕。

      如果你安裝了IIS來建立自己的個人網站，開放了WEB服務，即會開放80端口。是以***掃描判斷你是否開放了WEB服務，尋找相應的漏洞來進行***。一般我們所遇到的大都是别人的掃描行為，不需要過于擔心了。

    如果經常收到來自外部IP高端口（大于1024）發起的類似TCP的連接配接請求，你得小心對方電腦是否中了“紅色代碼”，并試圖***你（也有可能是人為使用軟體***）。由于此病毒隻傳染裝有IIS服務的系統，是以普通使用者不需擔心。

    若發現本機試圖通路其他主機的80端口，則應檢查自己系統中是否有此病毒了。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[9:04:18] 218.2.140.13試圖連接配接本機的FTP Open Server【21】端口，

      TCP标志：S，

      該操作被拒絕。

      21端口是FTP服務所開放的端口，導緻這條記錄出現的大部分原因是一些網蟲在使用ftp搜尋軟體看哪些電腦開放了FTP，以尋求軟體、電影的下載下傳。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[8:39:42] 192.168.0.123 嘗試用Ping 來探測本機，

      該操作被拒絕。

      對于這條日志的了解應該不困難。我們知道PING指令可以用來測試兩台電腦之間是否可以進行通訊，***在***前首先要确定目标是否連接配接了網絡。但安裝防火牆之後，即使電腦連接配接了網絡，***PING的結果也會顯示資料包無法到達，這樣就會起到迷惑***的作用。出現這條日志說明可能有人用PING指令發送資料包來探測你是否開機并連在網絡上，不必擔心，防火牆已攔截了資料包。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[14:00:24] 10.100.2.246 嘗試用Ping來探測本機，

      該操作被拒絕。

[14:01:09] 10.100.10.72 嘗試用Ping來探測本機，

      該操作被拒絕。

[14:01:20] 10.100.2.101 嘗試用Ping 來探測本機，

      該操作被拒絕。

　　特征：多台不同IP的計算機試圖利用Ping的方式來探測本機。

　　日志中所列機器感染了沖擊波類病毒。感染了“沖擊波殺手”的機器會通過Ping網内其他機器的方式來尋找RPC漏洞，一旦發現，即把病毒傳播到這些機器上。

      在排除了人為進行的ping之外，要注意可能是來自于源位址機器中有類似于“沖擊波”等病毒在作怪。是以，對于本機來講，刻不容緩的事情就是要安裝微軟的“沖擊波”更新檔。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[14:01:28] 221.200.49.89試圖連接配接本機的【135】端口，

        TCP标志：S，

        該操作被拒絕。

      同上，是利用RPC服務漏洞的沖擊波類的蠕蟲病毒，該病毒主要***手段就是掃描計算機的135端口進行***。更新微軟的更新檔還是必要的。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[11:58:08] 10.100.2.68試圖連接配接本機的NetBios-SSN【139】端口，

      TCP标志：S，

      該操作被拒絕。

　　 特征：某一IP連續多次連接配接本機的NetBios-SSN[139]端口，表現為時間間隔短，連接配接頻繁。

　　 日志中所列IP的計算機可能感染了“尼姆達病毒”。感染“尼姆達”的計算機有個特點，會搜尋區域網路内一切可用的共享資源，并會将病毒複制到取得完全控制權限的共享檔案夾内，達到病毒傳播目的。 

      139端口是NetBIOS協定所使用的端口，在安裝TCP/IP 協定的同時，NetBIOS也會被作為預設設定安裝到系統中。139端口的開放意味着硬碟可能會在網絡中共享；網上***也可通過NetBIOS知道你的電腦中的一切!

      盡管在天網防火牆的監控下，此隐患沒有被利用。但不能無動于衷，應把這漏洞補上。對于連接配接到網際網路上的機器，NetBIOS完全沒用，可将它去掉。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[10:42:27] 10.126.10.66試圖連接配接本機的CIFS【445】端口，

        TCP标志：S，

        該操作被拒絕。

      445端口，一個既讓人愛，又招人恨的端口，有了它，網民們可以在區域網路中輕松通路各種共享檔案夾或共享列印機，但正因為有了它，Internet上的“惡人”們才有了“可乘之機”，他們能躲在Internet上的“陰暗角落”裡，偷偷共享你的硬碟，甚至會在悄無聲息中，将你的硬碟格式化掉！

      SMB： Windows協定族，用于檔案和列印共享服務。 

      NBT： 使用137(UDP), 138(UDP) and 139 (TCP）來實作基于TCP/IP的NETBIOS網際互聯。

      在Windows NT中SMB基于NBT實作。 而在WinXP中，SMB除了基于NBT的實作，還有直接通過445端口實作。 當WinXP（允許NBT)作為client來連接配接SMB伺服器時，它會同時嘗試連接配接139和445端口，如果445端口有響應，那麼就發送RST包給139端口斷開連接配接，以455端口通訊來繼續.當445端口無響應時，才使用139端口。 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

[5:49:55] 61.114.78.110 試圖連接配接本機的***冰河【7626】端口

      TCP标志：S

      該操作被拒絕

      這條記錄就要注意一下啦，假如你沒有中***，也就沒有打開7626端口，當然沒什麼事。而***如果已植入你的機子，你已中了冰河，***程式自動打開7626端口，迎接遠方***的到來并控制你的機子，這時你就完了，但你裝了防火牆以後，即使你中了***，該操作也被禁止，***拿你也沒辦法。但這是常見的***，防火牆會給出相應的***名稱，而對于不常見的***，天網隻會給出連接配接端口号，這時就得*你的經驗和資料來分析該端口的是和哪種***程式相關聯，進而判斷對方的企圖，并采取相應措施，封了那個端口。 

[6:14:20] 192、168、0、110 的【1294】端口停止對本機發送資料包

      TCP标志：F A

      繼續下一規則

[6:14:20] 本機應答192、168、0、110的【1294】端口

      TCP标志：A

      繼續下一規則

      從上面兩條規則看就知道發送資料包的機子是區域網路裡的機子，而且本機也做出了應答，是以說明此條資料的傳輸是符合規則的。為何有此記錄，那是你在天網防火牆規則中選了“TCP資料包監視”，這樣通過TCP傳輸的資料包都會被記錄下來，是以大家沒必要以為有新的記錄就是人家在***你，上面的日志是正常的，别怕！呵呵！

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

      要特别說明的是，不是所有被攔截的資料包都意味着有人在***你，有些正常的資料包會由于你設定的安全級别過高而不符合安全規則，也會被攔截下來并報警，如你設定了禁止别人Ping你的主機，如果有人向你的主機發送Ping指令，天網也會把這些發來的資料攔截下來記錄在日志上并報警。

      如果你選擇了監視TCP和UDP資料包，那你發送和接受的每個資料包也将被記錄下來。

    一個定義不好的規則加上記錄功能,會産生大量沒有任何意義的日志,并浪費大量的記憶體。 

      給大家說了一通了，也不知道大家能不能看懂，其實防火牆的作用就是隐藏自己真實IP的同時，監控各個端口，并給出日志，讓大家分析并找出相應的對策，靈活應用防火牆能給自己機子帶來比較高的安全性。當然有些病毒***是誘導使用者主動通路而感染的，就要靠自己提高安全意識來防範了。總之，網際網路大了，用的人多了，什麼樣的人都有，是以給自己機子上裝個防火牆是必不可少的基本防禦！

      大家千萬不要嫌天網防火牆：“煩”，天網是有些像大話西遊中的唐僧，但你既然選擇了它，就要忍受它的“羅嗦”，其實所謂的“羅嗦”正是天網在不厭其煩的提醒你、保護你，是以要看仔細了，到底是什麼程式要連線運作。

      本人能力有限，錯漏難免，望指正！也歡迎高手們進來補充！！

轉載于:https://blog.51cto.com/hanbing/17260