Windows防火墻的日志分析

　在”微軟的“后門”的發(fā)現(xiàn)與清除“這篇文章里已經(jīng)說(shuō)了如何用Windwos防火墻來(lái)封閉端口 在 “終端端口限IP“這篇文章中，說(shuō)了如何用WIndows防火墻來(lái)限制只允許自己連接終端
　　如何記錄日志呢
　　記錄被丟棄的連接就可以，不然1T的硬盤估計(jì)都裝不下這日志。
　　打開(kāi)日志
　　會(huì)看到這樣的
　　#Version: 1.5
　　#Software: Microsoft Windows Firewall
　　#Time Format: Local
　　#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
　　2011-05-14 14:45:44 DROP TCP 121.14.11.62 192.168.1.100 80 35106 40 A 3456172238 1370391300 27 – - – RECEIVE
　　2011-05-14 14:45:52 DROP TCP 219.133.60.173 192.168.1.100 443 65124 169 AP 2086682883 794527494 24480 – - – RECEIVE
　　前面的2011-05-14 14:45:44就不用說(shuō)了，當(dāng)然是日期
　　DROP 就是丟棄數(shù)據(jù)包
　　TCP 以TCP方式連接
　　121.14.11.62 192.168.1.100 80
　　這個(gè)121.14.11.62是連接者IP 192.168.1.100是本機(jī)IP 80是端口
　　35106 40 A 3456172238 1370391300 27
　　這些就是對(duì)方端口之類的，不用管
　　RECEIVE指入站包，如果是SEND則是你發(fā)出去包
　　通過(guò)分析這些日志，就可以找出潛在威脅，比如誰(shuí)嘗試連接你的終端端口
　　連接終端是有目的的
　　1.無(wú)聊分子瞎弄
　　2.已經(jīng)成功提權(quán)了（或社工）了你的密碼，想通過(guò)終端進(jìn)入服務(wù)器

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206
 

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]