3.常見(jiàn)報(bào)警之qq聊天服務(wù)器

[19:55:55] 接收到 218.18.95.163 的 UDP 數(shù)據(jù)包,

本機(jī)端口: 1214 ，

對(duì)方端口: OICQ Server[8000]

該包被攔截。

[19:55:56] 接收到 202.104.129.254 的 UDP 數(shù)據(jù)包，

本機(jī)端口: 4001 ，

對(duì)方端口: OICQ Server[8000]

該包被攔截。

這個(gè)防火墻日志是昨天在校園網(wǎng)的“談天說(shuō)地”上抄下來(lái)的,騰訊QQ服務(wù)器端開(kāi)放的就是8000端口.一般是qq服務(wù)器的問(wèn)題，因?yàn)榻邮懿坏奖镜氐目蛻?hù)響應(yīng)包，而請(qǐng)求不斷連接，還有一種可能就是主機(jī)通過(guò)qq服務(wù)器轉(zhuǎn)發(fā)消息，但服務(wù)器發(fā)給對(duì)方的請(qǐng)求沒(méi)到達(dá)，就不斷連接響應(yīng)了(TCP三次握手出錯(cuò)了，我是這么認(rèn)為的，具體沒(méi)找到權(quán)威資料，可能說(shuō)的不對(duì)，歡迎指正)

4.共享端口之135,139,445（一般在局域網(wǎng)常見(jiàn)）

又要分幾種情況：

135端口是用來(lái)提供RPC通信服務(wù)的，445和139端口一樣，是用來(lái)提供文件和打印機(jī)共享服務(wù)的。

[20:01:36] 218.8.124.230試圖連接本機(jī)的NetBios-SSN[139]端口，

TCP標(biāo)志：S，

該操作被拒絕。

[16:47:24] 60.31.133.146試圖連接本機(jī)的135端口，

TCP標(biāo)志：S，

該操作被拒絕。

[16:47:35] 60.31.135.195試圖連接本機(jī)的CIFS[445]端口，

TCP標(biāo)志：S，

該操作被拒絕。

第一種：正常情況,局域網(wǎng)的機(jī)器共享和傳輸文件(139端口)。

第二種：連接你的135和445端口的機(jī)器本身應(yīng)該是被動(dòng)地發(fā)數(shù)據(jù)包，或者也有可能是正常的、非病毒的連接——雖然這個(gè)可能性比較小。

第三種：無(wú)聊的人掃描ip段，這個(gè)也是常見(jiàn)的，初學(xué)黑客技術(shù)都這樣，十足的狂掃迷，但往往什么也沒(méi)得到，這種人應(yīng)該好好看看TCP/IP協(xié)議原理。

第四種：連接135端口的是沖擊波（Worm.Blaster）病毒，“嘗試用Ping來(lái)探測(cè)本機(jī)”也是一種沖擊波情況（internet），這種135端口的探測(cè)一般是局域網(wǎng)傳播，現(xiàn)象為同一個(gè)ip不斷連接本機(jī)135端口，此時(shí)遠(yuǎn)程主機(jī)沒(méi)打沖擊波補(bǔ)丁，蠕蟲(chóng)不斷掃描同一ip段(這個(gè)是我自己的觀點(diǎn)，沖擊波的廣域網(wǎng)和局域網(wǎng)傳播方式估計(jì)不同吧，歡迎指正！)

第五種：某一IP連續(xù)多次連接本機(jī)的NetBios-SSN[139]端口，表現(xiàn)為時(shí)間間隔短，連接頻繁。

防火墻日志中所列計(jì)算機(jī)此時(shí)感染了“尼姆達(dá)病毒”。感染了“尼姆達(dá)病毒”的計(jì)算機(jī)有一個(gè)特點(diǎn)，它們會(huì)搜尋局域網(wǎng)內(nèi)一切可用的共享資源，并會(huì)將病毒復(fù)制到取得完全控制權(quán)限的共享文件夾內(nèi)，以達(dá)到病毒傳播之目的。這種人應(yīng)該同情下，好好殺毒吧！

【編輯推薦】

1. 防火墻常見(jiàn)日志詳細(xì)分析（1）
2. 防火墻常見(jiàn)日志詳細(xì)分析（3）
3. 防火墻常見(jiàn)日志詳細(xì)分析（4）
4. 防火墻常見(jiàn)日志詳細(xì)分析（5）