最近lab的網路不穩(問題後述)
因為系統資源問題
只使用xp內建的兩光防火牆
在網路不穩下
發現有以下裝況
開啟區域網路狀態
可以發現防火牆還在啟動狀態
http://farm4.static.flickr.com/3585/3327116005_5ba334a7cc_o.jpg
只允許本機遠端出去
不能遠端回本機
進入服務後
防火牆的ICS服務卻是沒狀態(關閉)的
http://farm4.static.flickr.com/3335/3327951184_4546e3b8ac_o.jpg
要重新啟動
卻顯示
系統存取被拒
無法啟動ICS服務
開啟XP防火牆紀錄的功能
觀看紀錄後發現
疑似有幾個IP異常送封包的狀況
請問最近有任何蠕蟲或病毒會遠端破壞防火牆嗎?
系統是XP-SP2跟XP-SP3都有
謝謝
贊助商連結
目前繼續分析紀錄檔案
發現疑似有問題的IP
都會發送
UDP PORT:1004的封包
謝謝
tvirus
2009-03-04, 08:15 PM
http://www.computersky.com/main/html/2008/5011.htm
不知道是不是這樣...
反正就到那台電腦去用TCPView看一下就知道了 :P
目前狀況一整個糊塗了
有問題的那幾台pc已經重灌
但是還是會有關閉的狀況
分析防火牆紀錄
關閉時沒有任何IP進入的訊息
改用Comodo Firewall Pro 3.8.64739.471來記錄
紀錄檔案過大
沒辦法很有效的紀錄所需要的資料
請問有其他可以分析的嗎
本來是懷疑以下資訊
可是這2天自動關閉的封包沒有發現此紀錄
_______________________
最近在分析XP防火牆會自動關閉的問題
開啟XP防火牆紀錄功能
目前有很多懷疑
有一個比較奇怪的是
當雙方連接上後
會持續有一段傳送
2009-03-05 16:45:11 CLOSE TCP 140.X.X.X 140.O.O.O 102 1512 - - - - - - - - -
2009-03-05 16:45:19 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:47:42 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:47:45 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:47:52 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:48:09 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:50:26 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:50:30 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:50:37 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:50:52 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:53:52 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:53:57 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:54:05 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
2009-03-05 16:54:21 DROP UDP 0.0.0.0 255.255.255.255 68 67 328 - - - - - - - RECEIVE
奇怪的是這串 UDP 0.0.0.0 255.255.255.255 68 67
去查詢了一下UDP的67跟68是DHCP用的
可是這個區域網路都是固定IP
沒有DHCP
為何一直有這一串呢
___________________
謝謝
PS.附上2台IP的XP內建防火牆紀錄檔