建站
咨詢
售后
建站咨詢
新聞中心
說起windows的日志,大家最熟悉的就是系統(tǒng)日志了,網(wǎng)上也有很多現(xiàn)成的工具來清除windows的系統(tǒng)事件.而對于windows系統(tǒng)防火墻的日志,可能都沒怎么重視.也沒有發(fā)現(xiàn)有專門清除防火墻日志的工具,雖然它只是一個txt文件。
本文將簡單介紹一下windows自帶防火墻的日志格式,通過實(shí)際案例(3389遠(yuǎn)程桌面和lcx轉(zhuǎn)發(fā)內(nèi)網(wǎng)端口),來說明通過防火墻日志分析入侵痕跡的方式.
防火墻的配置跟大多數(shù)防火墻類似,就不贅述了.默認(rèn)情況下,防火墻的日志文件位于:
C:\windows\pfirewall.log
每個字段的含義如下,在pfirewall.log最開始有注釋.
一次3389遠(yuǎn)程桌面的連接日志:
都懂,ip在那擺著…
lcx轉(zhuǎn)發(fā)內(nèi)網(wǎng)端口的日志
lcx轉(zhuǎn)發(fā)內(nèi)網(wǎng)端口:192.168.31.205上執(zhí)行 lcx.exe -slave 192.168.31.201 2222 192.168.31.110 3389
日志處理過,把中間一些其他無關(guān)的給過濾掉了.可以看到特征還是很明顯的.會有兩個連接到201的2222端口.有一個連接到110的3389端口,剛好夾在兩個到2222端口的連接之間.從205的本地端口號可以很清晰的判斷(2328,2329,2330).后面幾行到201的2222端口,不斷打開關(guān)閉是由于先結(jié)束掉了201上監(jiān)聽的lcx進(jìn)程.這個特征也很明顯.可以基于這些來判斷端口被轉(zhuǎn)發(fā)到的目的地址.
lcx轉(zhuǎn)發(fā)本地端口:192.168.31.205上執(zhí)行 lcx.exe -slave 192.168.31.201 2222 127.0.0.1 3389
同樣,根據(jù)第一個案例,可以推斷出.205上應(yīng)該open3個連接.2個到201的2222端口.一個到127.0.0.1的3389端口.從日志中我們只看到了到201的2222端口,不過從端口號上可以看出,從2342到2344,中間的2343應(yīng)該是被占用了.只是到127.0.0.1的3389端口,流量沒有通過防火墻,沒有被記錄下來.從上面的分析可以看出.windows的自帶的防火墻IP追蹤方面還是有一些作用的.
新聞名稱:windows防火墻日志在IP追蹤的利用
分享鏈接:http://www.5511xx.com/article/djijgip.html
