¿Qué opinas de los registros del firewall de Huawei?
Los registros de firewall no son complicados, pero para comprenderlos, aún es necesario comprender algunos conceptos básicos (como puertos, protocolos, etc.). Aunque cada registro de firewall es diferente, los métodos de registro son similares. incluyendo principalmente: hora, aceptación o bloqueo, tipo de comunicación, dirección IP de origen, puerto de origen, dirección de destino, puerto de destino, etc. Este artículo tomará los registros del firewall Skynet como ejemplo para que todos sepan cómo analizar los registros del firewall para encontrar vulnerabilidades del sistema y posibles ataques.
El firewall Skynet interceptará todos los paquetes de datos irregulares y los registrará en el registro. Si elige monitorear todos los paquetes TCP y UDP, se registrará cada paquete que envíe y reciba.
Ataque al puerto 1 y 139
El registro que se muestra en la Figura 1 muestra que una computadora en la LAN está intentando acceder al puerto 139 de su computadora, pero la operación falla.
El puerto 139 es el puerto utilizado por el protocolo NetBIOS. Al instalar el protocolo TCP/IP, NetBIOS también se instalará en el sistema como configuración predeterminada. La apertura del puerto 139 significa que el disco duro puede compartirse en la red; ¡los piratas informáticos de la red también pueden conocer todo lo que hay en su computadora a través de NetBIOS!
Consejo: "NetBIOS" es el sistema de entrada y salida de la red. Aunque el protocolo TCP/IP se ha convertido en un protocolo de transmisión ampliamente utilizado, el protocolo NetBEUI proporcionado por NetBIOS todavía se utiliza ampliamente en las LAN.
Aunque está bajo la supervisión del firewall Skynet, este peligro oculto no ha sido explotado. Pero no podemos permanecer indiferentes y debemos encontrar formas de llenar este vacío. NetBIOS es completamente inútil para máquinas en red y puede eliminarse.
Entonces, ¿cómo sabes el comportamiento de esta dirección de origen? Si se trata de una dirección remota, es posible que la otra parte esté utilizando software para escanear o que la causa sea un virus. Sin embargo, direcciones como 192.168.30.15x en la Figura 1 están en la misma LAN que esta computadora y el usuario de la computadora no usó software para atacar. Tras la inspección, se descubrió que estos ordenadores estaban infectados con el "virus Nimda".
2. Ataque al puerto 80
En el firewall Skynet, supongamos que recibe un mensaje de este tipo, que significa: ¿en 18? Los usuarios de 89 ××× intentan conectarse a su computadora y escanean si su computadora tiene el puerto 80 abierto (es decir, el puerto que abrirá el servicio web).
Si recibe con frecuencia solicitudes de conexión tipo TCP desde puertos externos con IP alta (superiores a 1024), tenga cuidado si la computadora de la otra parte ha sido atacada por un "equipo rojo" que intenta atacarlo (puede también pueden ser ataques de software artificiales). Dado que este virus sólo infecta sistemas con servicios IIS, los usuarios normales no deben preocuparse.