2012
07-06
Netscreen日志分析

1 Admin user "admin" logged in for WeB(http) management (port 80) from 192.168.*.*:4182
 
这个可能是Netscreen日志里面最明白的日志了,一看就知道什么意思,可很多日志看起来却不那么顺手。
 
2 Dst IP session limit! From b.b.b.b:3275 to a.a.a.a:110, proto TCP (zone Untrust, int ethernet3). Occurred 1 times.
实际上这样的信息是说无法访问到指定IP地址提供的服务,上面例子说明b.b.b.b无法从a.a.a.a接收邮件,原因是netscreen设置了Dst IP limitsession 。在Screening-screen选项卡里选择对应区域(utrust)-Denial of Service Defense-
Destination IP Based Session Limit Threshold  Sessions

 当这个端口上的特定服务的连接会话,比如邮件服务器,同时访问会话超过了128个/s,那就做禁止动作。通过监察,正常情况下一个管理1000用户的邮件服务器的正常会话访问量是20个/s左右。所以netscreen默认设置的这个会话是一个安全阀值,超过这个安全阀值就说明可能存在攻击事件。如果想临时解决问题,可以将此阀值调大,但解决造成问题的根本才是关键。
 
缓存溢出。1 Admin user "admin" logged in for WeB(http) management (port 80) from 192.168.*.*:4182

这个可能是Netscreen日志里面最明白的日志了,一看就知道什么意思,可很多日志看起来却不那么顺手。

2 Dst IP session limit! From b.b.b.b:3275 to a.a.a.a:110, proto TCP (zone Untrust, int ethernet3). Occurred 1 times.
实际上这样的信息是说无法访问到指定IP地址提供的服务,上面例子说明b.b.b.b无法从a.a.a.a接收邮件,原因是netscreen设置了Dst IP limitsession 。在Screening-screen选项卡里选择对应区域(utrust)-Denial of Service Defense-
Destination IP Based Session Limit Threshold Sessions
当这个端口上的特定服务的连接会话,比如邮件服务器,同时访问会话超过了128个/s,那就做禁止动作。通过监察,正常情况下一个管理1000用户的邮件服务器的正常会话访问量是20个/s左右。所以netscreen默认设置的这个会话是一个安全阀值,超过这个安全阀值就说明可能存在攻击事件。如果想临时解决问题,可以将此阀值调大,但解决造成问题的根本才是关键。

缓存溢出。
3
Large ICMP packet! From a.a.a.a to b.b.b.b
表示在网络中出现了超过1500字节的ICMP包,ICMP包一般为PING包,大的ping包是不正常的,这个可以确定为互联网攻击,也是正常的,如果很少收到这个包那你的NETSCREEN可能没启用UNTRUST的ping包策略,这样是很危险的,大的PING包可以PING死你的防火墙。
4 Port scan! 很明显端口扫描如果你的网络有多个IP发现多个IP都被反复扫描,那要注意了,可能你映射的一个IP的主机存在漏洞,注意检查下是否已经被入侵。
5 IP spoofing! From 192.168.36.84:8080 to a.a.a.a:3815proto TCP (zone Untrust, int ethernet3).
伪 IP 技术是指一种获取对计算机未经许可的访问的技术,即攻击者通过伪 IP 地址向计算机发送信息,并显示该信息来自于真实主机。对于Netscreen来说一般我们是作为出口防火墙使用,看后面的端口,Untrust从外网发来的伪IP99.9%是不能通过的。当然如果对你的内网结构很了解,还是有可能通过,目前正在做这个测试。
3
 Large ICMP packet! From a.a.a.a to b.b.b.b
  表示在网络中出现了超过1500字节的ICMP包,ICMP包一般为PING包,大的ping包是不正常的,这个可以确定为互联网攻击,也是正常的,如果很少收到这个包那你的NETSCREEN可能没启用UNTRUST的ping包策略,这样是很危险的,大的PING包可以PING死你的防火墙。
4 Port scan! 很明显端口扫描如果你的网络有多个IP发现多个IP都被反复扫描,那要注意了,可能你映射的一个IP的主机存在漏洞,注意检查下是否已经被入侵。
5 IP spoofing! From 192.168.36.84:8080 to a.a.a.a:3815proto TCP (zone Untrust, int ethernet3).
伪 IP 技术是指一种获取对计算机未经许可的访问的技术,即攻击者通过伪 IP 地址向计算机发送信息,并显示该信息来自于真实主机。对于Netscreen来说一般我们是作为出口防火墙使用,看后面的端口,Untrust从外网发来的伪IP99.9%是不能通过的。当然如果对你的内网结构很了解,还是有可能通过,目前正在做这个测试。

 评论

暂无评论

 发表评论
姓名:

关于我


◇Blogger:SunLin
◇一个人必须对所有生命都怀有一分发自内心的真感情,才能去发现大自然迷人而又使人敬畏的美。

联系我

  • 邮件:lssean@yeah.net
  • QQ:312376477

订阅

内容分类