透过防火墙日志看系统安全

　　在《天网防火墙》中，假定你收到类似这样的信息，它的意思是：在18:29:20这个时刻，来自于IP地址为61.128.89.××的用户试图连接你的电脑，并扫描你的电脑是否开放了80端口（这是Web服务要开放的端口）。

　　如果经常收到来自外部IP高端口（大于1024）发起的类似TCP的连接请求，你得小心对方电脑是否中了“红色代码”，并试图攻击你（也有可能是人为使用软件攻击）。由于此病毒只传染装有IIS服务的系统，所以普通用户不需担心。

　　如果担心自己的Web服务器被“红色代码”病毒入侵，可以在服务器上安装防火墙，并设置应用程序规则进行拦截。若发现本机试图访问其他主机的80端口，则应检查自己系统中是否有此病毒了。

　　3.ping探测攻击

　　在《天网防火墙》的日志中还会记录某些用户持续对本机进行ping的log，有时也表现为来自多个地址对本机进行ping攻击（图2）。在排除了人为进行的ping之外，要注意可能是来自于源地址机器中有类似于“冲击波”等病毒在作怪。因此，对于本机来讲，刻不容缓的事情就是要安装微软的“冲击波”补丁。

图2

　　4.IGMP攻击

　　IGMP对于Windows普通用户没什么用途，但由于Win9X操作系统的内核缺陷，其自身存在一个IGMP漏洞，因此有人会利用这个漏洞向指定主机发送大量的IGMP数据包，使Windows 操作系统的网络层受到破坏，导致死机，这在防火墙日志中也会有记载（图3）。对付这类情况最好安装上IGMP数据包的补丁。

图3

　　不过，有时收到这样的提示信息也并不表示一定就是黑客或者病毒在攻击，在一个局域网中也会经常收到来自于网关的类似数据包；再有一些有视频广播服务的机器也会对用户发送这样的数据包，因此不用过于惊慌。

　　要特别说明的是，不是所有被拦截的数据包都意味着有人在攻击你，有些正常的数据包会由于你设置的安全级别过高而不符合安全规则，也会被拦截并报警。

上一页  [1] [2]