防火墙日志记录让蠕虫病毒无处可逃

崔凯

　日志功能是防火墙很重要的功能之一，但是很多人却并不重视，也从未仔细研究过日志的内容。日志记录看似枯燥的数据，其实提供了大量宝贵的第一手资料，可以帮助我们更好地管理和维护网络。
　　
　　近日经实践发现，利用天网同样可以知道哪台计算机中了“尼姆达病毒”。下面就以两个典型的天网日志为例，加以分析，供大家参考。
　　
　　范例一
　　天网日志如下：
　　
　　[11:58:08] 10.100.2.68试图连接本机的NetBios-SSN[139]端口，
　　
　　TCP标志：S，
　　
　　该操作被拒绝。
　　
　　[11:58:11] 10.100.2.68试图连接本机的NetBios-SSN[139]端口，
　　
　　TCP标志：S，
　　
　　该操作被拒绝。
　　
　　[11:58:17] 10.100.2.68试图连接本机的NetBios-SSN[139]端口，
　　
　　TCP标志：S，
　　
　　该操作被拒绝。
　　
　　[11:58:18] 10.100.2.74试图连接本机的NetBios-SSN[139]端口，
　　
　　TCP标志：S，
　　
　　该操作被拒绝。
　　
　　特征：某一IP连续多次连接本机的NetBios-SSN[139]端口，表现为时间间隔短，连接频繁。
　　
　　日志解读 日志中所列计算机感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点，它们会搜寻局域网内一切可用的共享资源，并会将病毒复制到取得完全控制权限的共享文件夹内，以达到病毒传播之目的。
　　
　　范例二
　　天网日志如下：
　　
　　[14:00:24] 10.100.2.246 尝试用Ping来探测本机，
　　
　　该操作被拒绝。
　　
　　[14:01:09] 10.100.10.72 尝试用Ping来探测本机，