渗透测试bypass_渗透测试防火墙日志

hacker|
219

华为防火墙日志

10.14.128.69

在不断地测试外部网络,从22.237.230.146 试到22.237.230.152

攻击类型为IP-spoofing IP 伪装

去查一下这台机,应该是中毒了。

-----------------------

以下内容来自网络。

一、在防火墙上关闭“IP-spoofing”和“ARP-spoofing”等防范攻击功能,就可解决设备上误报如上信息。

二、如果必须启用此两种防范攻击功能,就必须将软件版本升级到最新版本。如果再提示如上信息,那就证明您内网有“地址欺骗”攻击。这可是正常现象哦!!!

怎样使用防火墙的日志功能?

防火墙日志可以说是一盘大杂烩,其中会保存系统收到的各种不安全信息的时间、类型等等。通过分析这些日志,可以发现曾经发生过或正在进行的系统入侵行为。

防火墙日志并不复杂,但要看懂它还是需要了解一些基础概念(如端口、协议等)。尽管每种防火墙日志不一样,但在记录方式上大同小异,主要包括:时间、允许或拦截(Accept或Block)、通讯类型、源IP地址、源端口、目标地址和目标端口等。这里将以《天网防火墙》日志为例,了解如何分析防火墙日志,进而找出系统漏洞和可能存在的攻击行为。

《天网防火墙》会把所有不合规则的数据包拦截并记录到日志中,如果你选择了监视所有TCP和UDP数据包,那你发送和接收的每个数据包都将被记录。

1.139端口攻击

139端口是NetBIOS协议所使用的端口,在安装了TCP/IP 协议的同时,NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!

小提示:“NetBIOS”是网络的输入输出系统,尽管现在TCP/IP 协议成为广泛使用的传输协议,但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。

尽管在《天网防火墙》的监控下,此隐患并没有被利用。但我们不能无动于衷,应想办法把这个漏洞补上。对于连接到互联网上的机器,NetBIOS完全没有用处,可以将它去掉。

那么如何知晓这个来源地址的行为呢?如果是一个远程地址,有可能是对方在用软件进行扫描或者是病毒作怪,但图1中的192.168.30.15X等地址和本机是在同一局域网中,且上机人员未用软件攻击,经检查发现这些电脑原来是中了“尼姆达病毒”。

2.80端口攻击

在《天网防火墙》中,假定你收到类似这样的信息,它的意思是:在18:29:20这个时刻,来自于IP地址为61.128.89.××的用户试图连接你的电脑,并扫描你的电脑是否开放了80端口(这是Web服务要开放的端口)。

如果经常收到来自外部IP高端口(大于1024)发起的类似TCP的连接请求,你得小心对方电脑是否中了“红色代码”,并试图攻击你(也有可能是人为使用软件攻击)。由于此病毒只传染装有IIS服务的系统,所以普通用户不需担心。

如果担心自己的Web服务器被“红色代码”病毒入侵,可以在服务器上安装防火墙,并设置应用程序规则进行拦截。若发现本机试图访问其他主机的80端口,则应检查自己系统中是否有此病毒了。

3.ping探测攻击

在《天网防火墙》的日志中还会记录某些用户持续对本机进行ping的log,有时也表现为来自多个地址对本机进行ping攻击。在排除了人为进行的ping之外,要注意可能是来自于源地址机器中有类似于“冲击波”等病毒在作怪。因此,对于本机来讲,刻不容缓的事情就是要安装微软的“冲击波”补丁。

4.IGMP攻击

IGMP对于Windows普通用户没什么用途,但由于Win9X操作系统的内核缺陷,其自身存在一个IGMP漏洞,因此有人会利用这个漏洞向指定主机发送大量的IGMP数据包,使Windows 操作系统的网络层受到破坏,导致死机,这在防火墙日志中也会有记载。对付这类情况最好安装上IGMP数据包的补丁。

不过,有时收到这样的提示信息也并不表示一定就是黑客或者病毒在攻击,在一个局域网中也会经常收到来自于网关的类似数据包;再有一些有视频广播服务的机器也会对用户发送这样的数据包,因此不用过于惊慌。

要特别说明的是,不是所有被拦截的数据包都意味着有人在攻击你,有些正常的数据包会由于你设置的安全级别过高而不符合安全规则,也会被拦截并报警。

怎么查看防火墙日志

点击Windows,找到控制面板。

选择Windows防火墙,就可以查看系统日志和防火墙日志。

0条大神的评论

发表评论