windows防火墙日志在IP追踪的利用
&说起windows的日志,大家最熟悉的就是系统日志了,网上也有很多现成的工具来清除windows的系统事件.而对于windows系统防火墙的日志,可能都没怎么重视.也没有发现有专门清除防火墙日志的工具,虽然它只是一个txt文件.
本文将简单介绍一下windows自带防火墙的日志格式,通过实际案例(3389远程桌面和lcx转发内网端口),来 说明通过防火墙日志分析入侵痕迹的方式.
防火墙的配置跟大多数防火墙类似,就不赘述了.默认情况下,防火墙的日志文件位于:
C:\windows\pfirewall.log
每个字段的含义如下,在pfirewall.log最开始有注释.
#Version: 1.5 #Software: Microsoft Windows Firewall #Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size
tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
14:58:57 DROP UDP 0.0.0.0 255.255.255.255 68 67 576 - - - - - - - RECEIVE
一次3389远程桌面的连接日志：
19:00:44 OPEN-INBOUND TCP 192.168.10.16 192.168.31.205
- - - - - - - - -
19:00:44 CLOSE TCP 192.168.31.205 192.168.10.16
- - - - - - - - -
都懂,ip在那摆着&.
lcx转发内网端口的日志
lcx转发内网端口:192.168.31.205上执行 lcx.exe -slave 192.168.31.201 .31.110 3389
19:34:29 OPEN TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:34:49 OPEN TCP 192.168.31.205 192.168.31.110
- - - - - - - - -
19:34:50 OPEN TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:35:12 CLOSE TCP 192.168.31.205 192.168.31.110
- - - - - - - - -
19:35:12 CLOSE TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:35:17 CLOSE TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:35:17 OPEN TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:35:18 CLOSE TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:35:18 OPEN TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:35:19 CLOSE TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
日志处理过,把中间一些其他无关的给过滤掉了.可以看到特征还是很明显的.会有两个连接到201的2222端口.有一个连接到110的3389端口,刚好夹在两个到2222端口的连接之间.从205的本地端口号可以很清晰的判断(30).后面几行到201的2222端口,不断打开关闭是由于先结束掉了201上监听的lcx进程.这个特征也很明显.可以基于这些来判断端口被转发到的目的地址.
lcx转发本地端口:192.168.31.205上执行 lcx.exe -slave 192.168.31.201 .0.1 3389
19:38:37 OPEN TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:39:01 OPEN TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:39:18 CLOSE TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:39:22 CLOSE TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:39:22 OPEN TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:39:23 CLOSE TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:39:23 OPEN TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
19:39:24 CLOSE TCP 192.168.31.205 192.168.31.201
- - - - - - - - -
同样,根据第一个案例,可以推断出.205上应该open3个连接.2个到201的2222端口.一个到127.0.0.1的3389端口.从日志中我们只看到了到201的2222端口,不过从端口号上可以看出,从,中间的2343应该是被占用了.只是到127.0.0.1的3389端口,流量没有通过防火墙,没有被记录下来.
从上面的分析可以看出.windows的自带的防火墙IP追踪方面还是有一些作用的.
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】查看: 10432|回复: 5
Win7系统墙怎么看日志
就像别的墙一样能清楚地看到什么时候受到了何种攻击
楼主是说如何查看防火墙日志？
桌面 - 〉控制面板 - 〉系统和安全 - 〉WINDOWS防火墙 - 〉高级设置 - 〉WINDOWS防火墙属性 - 〉公用配置文件 - 〉日志 自定义 - 〉选择记录丢弃包和成功的链接
日志的地址默认在C:\Windows\System32\LogFiles\Firewall\pfirewall.log
具体可以参考这个XP的页面，大致一样，
帮助文档：
可将高级安全 Windows 防火墙配置为记录指示其进程的成功和失败的事件。日志记录设置包括两组设置：日志文件自身的设置和确定文件将记录哪些事件的设置。可为每个防火墙配置文件单独配置该设置。
您可以指定创建日志文件的位置、文件可以增长到多大，以及是否希望日志文件记录有关丢弃的数据包、成功的连接（或两者）的信息。
打开此对话框的步骤
在高级安全 Windows 防火墙 MMC 管理单元的“概述”中，单击“Windows 防火墙属性”。
选择要为其配置日志的防火墙配置文件对应的选项卡。
在“日志”中单击“自定义”。
输入希望 Windows 防火墙在其中写入其日志信息的文件的路径和名称。如果要配置将部署到多台计算机的组策略对象 (GPO)，请使用可用环境变量（如 %windir%），以确保对于网络上的每台计算机该位置均是正确的。
仅指定文件位置不会启动日志记录。还必须选中用于记录丢弃的数据包或成功的连接的两个复选框之一。
如果要配置运行 Windows Vista 或更新版本 Windows 的计算机的设置，且指定默认值以外的位置，则必须确保 Windows 防火墙服务具有向该位置写入的权限。
向 Windows 防火墙服务授予日志文件夹写入权限的步骤
找到为日志文件指定的文件夹，右键单击该文件夹，然后单击“属性”。
单击“安全”选项卡，然后单击“编辑”。
单击“添加”，在“输入要选择的对象名称”中键入 NT SERVICE\mpssvc，然后单击“确定”。
在“权限”对话框中，验证 MpsSvc 是否具有“写入”权限，然后单击“确定”。
指定允许文件增长到的最大大小。该值必须介于 1 和 32,767 千字节 (KB) 之间。
达到指定的大小限制时，高级安全 Windows 防火墙会关闭日志文件并通过向文件名结尾添加“.old”对其进行重命名。然后它会创建并使用具有原始日志文件名的新日志文件。每次只能保留两个文件。如果第二个文件达到最大大小，则通过添加“.old”对其进行重命名，原始“.old”文件会被丢弃。
记录丢弃的数据包
使用此选项可以在高级安全 Windows 防火墙以任何原因丢弃入站数据包时记录日志。日志将记录丢弃数据包的原因和时间。在日志的“操作”列中查找带有单词 DROP 的条目。
记录成功的连接
使用此选项可以在高级安全 Windows 防火墙允许入站连接时记录日志。日志将记录建立连接的原因和时间。在日志的“操作”列中查找带有单词 ALLOW 的条目。
高级安全 Windows 防火墙操作事件日志是可用于查看 Windows 防火墙策略更改的另一种资源。操作日志始终处于开启状态，且包含防火墙规则和连接安全规则的事件。
查看高级安全 Windows 防火墙事件日志的步骤
打开“事件查看器”。依次单击「开始」、“管理工具”和“事件查看器”。
在导航窗格中，依次展开“应用程序和服务日志”、Microsoft、Windows 和“高级安全 Windows 防火墙”。
单击 ConnectionSecurity、ConnectionSecurityVerbose、“防火墙”或 FirewallVerbose。默认情况下未启用标记为“verbose”的日志。若要启用这些日志，请在“操作”中单击“启用日志”。
感谢解答： ）
那如何知道 WIN7防火墙 有没有在起作用呢。。感觉没反应~~
yiangtoo 发表于
帮助文档：
可将高级安全 Windows 防火墙配置为记录指示其进程的成功和失败的事件。日志记录设置包括两组 ...
感觉比第三方防火墙还麻烦。
微软首先考虑的是易用性，它知道普通用户并不会去看防火墙日志，给人的感觉比较麻烦。
系统的帮助文档有几个去看？。
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
谈防火墙日志服务的应用
　　随着和应用的不断普及，网络安全日益成为大家关注的问题，导致等安全设备应运而生，防火墙的应用成为用户实络安全的一个基本手段。防火墙本身的主要功能除了对网络访问进行有效控制以外，还有一个很重要的功能就是对网络上的访问进行记录和审计，防火墙日志审计就是完成这一功能的主要工具。
　　虽然目前所有厂商的防火墙都提供日志功能，但各厂商对于防火墙日志的记录和管理策略却各各不同。有的厂商采用防火墙内置硬盘作为防火墙的整体，其目的就是利用硬盘这一较为廉价的存储介质来放置相对较为庞大的防火墙日志；而另一些厂商则使用电子盘存贮防火墙的核心系统和临时日志，同时，通过架设一台远程的防火墙日志审计服务器来实现对防火墙日志的存放和审计。
　　防火墙日志审计服务是辅助网络安全管理人员全面掌握网络安全状况，并衡量防火墙性能和作用的重要手段。令人遗憾的是许多用户在选择防火墙产品的时候，往往会忽略防火墙的日志审计这一环节。
　　那么用户在选择防火墙日志审计服务的时候，应该选择哪种模式呢？下面我们从常见方法来帮助用户作一个整体的分析。
　　作为一个黑客，他入侵一个网络系统的目的是要攻击网络系统内部的关键主机，如果一个网络系统有防火墙这样的安全设备负责网络通讯的监控，那么黑客首先要做的事情是利用网络的安全缺陷攻击或避绕防火墙，然后进行关键主机攻击。而无论黑客采用什么样的手段，他在被攻击网络系统内的通讯行为是物理存在的，所以黑客在完成攻击后，最后做的工作就是将防火墙上记录的通讯日志进行破坏或删改。如果将所有的防火墙日志在防火墙本地，这样，黑客就有机会完全破坏通讯日志，以降低后续被跟踪的可能性。
　　那么怎样才能最大程度地保护防火墙的日志，以做为被攻击后的审计资料呢？最好的办法就是使用远程的日志审计服务器来存储防火墙的监控日志，因为远程日志审计服务器的位置对于黑客来说是不透明的，在防火墙上有大量的设置地址，黑客在短时间内是无法从防火墙上分析出日志服务器的网络位置，黑客在完成网络攻击后，为了在最短时间内离开被攻击的网络，基本上会删除被攻击主机的日志和攻击路径上网络设备的日志，根本没有时间分析和查找防火墙远程日志服务器的位置和攻击修改远程日志服务器上的防火墙日志，这样，防火墙的远程日志服务器就有效地记录了黑客的攻击行为，可以为日后跟踪和找到发动攻击行为的黑客提供有力的数据。
　　从上面的分析不难看出，防火墙的远程日志审计服务器对于用户网络的安全同样是十分重要的。另外，用户在选择防火墙产品的时候，关注厂商在日志服务器上面所作的工作（防火墙日志服务器的功能）是十分重要的。如果某一防火墙产品只使用本地硬盘作为日志存储器，那么对于用户的网络安全性的保护将是不全面的。所以，即便用户选择使用本地硬盘存储日志的防火墙产品，也要选择同时提供远程日志服务器的防火墙产品，以便安装远程的日志服务器来对防火墙的监控日志进行备份。
　　另外，防火墙是网络设备，为了不影响其性能，故防火墙本地的日志查询都做得比较简单，处理的数据量也不是很大，而使用单独的日志服务器，日志查询和审计的功能就可以做得非常强大和细致，处理的数据量也大。
　　网御防火墙为用户提供了基于Windows平台的功能强大的远程日志服务器，日志类型全面，审计内容丰富。该日志审计服务器可以辅助管理人员监控网络应用的各种情况，并提供多种辅助功能，包括管理员分级、日志信息导入导出、面向对象的安全策略执行状况审计以及日志等功能，还有在空间耗尽时的行之有效的处理策略。网络管理员可以根据日志审计服务器提供的日志信息实时地监控网络的运行状况并处理异常情况，能够以强大的日志审计服务功能确保防火墙安全策略的准确执行和适时调整。
[ 责任编辑：高守 ]
互联网＋，云，大数据时代，外部…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte||||||||||
防火墙日志导出至syslog主机的配置(附SYSLOG软件配置使用方法)
11:59:13&&阅读数：&&【打印】
日志管理模块能够将系统消息或包过滤的动作产生的日志等存入缓冲区或定向发送到日志主机上。
在导航栏中选择“日志管理 & Syslog日志”，进入如图所示的页面。在日志主机1设置Syslog日志主机的IP地址和端口号,确定即可。
配置完成后，记得在设备管理栏目中保存设备配置，如下图所示。
防火墙日志导出至userlog主机的配置
& &&目前，Flow日志仅指会话日志。要生成Flow日志，需要配置会话日志功能。
&& (1) 配置Flow日志，在左侧导航栏中选择【设备日志】&【Userlog日志】，如下图所示：
可以配置两个保存日志的主机地址，请根据实际日志主机地址进行配置。单击【确定】完成远程Userlog主机地址设置。
&&& (2) 配置日志输出策略，在导航栏中选择【设备日志】&【会话日志】&【日志输出策略】，进入会话日志输出策略的显示页面，单击【新建】按钮，进入新建会话日志输出策略的配置页面，如下图所示：
&&& (3) 配置全局设置。选择【设备日志】&【会话日志】&【全局设置】页签，进入会话日志输出阈值的配置页面，如下图所示：
设置时间阈值之后，如果会话的存活时间达到了该阈值，就会输出会话日志。
设置流量阈值之后，当会话收发的报文数或字节数达到阈值，就会输出会话日志。
syslog日志软件
简单搭建SYSLOG日志服务器！（附加软件3Cdaemon软件 windows平台下的)
&&& 首先注意： 一打开软件，会自动打开 TFTP服务 跟ftp服务！ 不需要的关闭即可,设置访问方式有2种。 一种是指定IP, 一种是允许所有日记保存格式是TXT的比较简单的软件。日记内容可能稍微会乱点。但是基本可以看的明白比较合适，即时抓取。
打开SYSLOG服务选项
设置日记保存位置
设置访问方式，有2种方式，
设置SYSLOG的IP和端口
启动syslog服务
启动后日记马上出来飞塔防火墙09-日志与报警_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
文档贡献者
评价文档：
飞塔防火墙09-日志与报警
飞​塔​防​火​墙9​-​日​志​与​报​警
大小：483.00KB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢}