防火墙日志分为三行：

第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况；

第二行为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，在日志上显示时只标出第一个字母；

日志第三行是对数据包的处理方法，对于不符合规则的数据包会拦截或拒绝，对符合规则的但被设为监视的数据包会显示为“继续下一规则”。

1.最常见的报警，尝试用ping来探测本机

分为两种：

如果在防火墙规则里设置了“防止别人用PING命令探测主机”，你的电脑就不会返回给对方这种ICMP包，这样别人就无法用PING命令探测你的电脑，也就以为没你电脑的存在。如果偶尔一两条没什么，但如果显示有N个来自同一IP地址的记录，很有可能是别人用黑客工具探测你主机信息。

[11:13:35] 接收到 210.29.14.136 的 ICMP 数据包，

类型: 8 ， 代码: 0，

该包被拦截。

这种情况只是简单的ping命令探测，如：ping 210.29.14.130就会出现如上日志。

[14:00:24] 210.29.14.130 尝试用Ping来探测本机，

该操作被拒绝。

这种情况一般是扫描器探测主机，主要目的是探测远程主机是否连网！但还有一种可能，如果多台不同IP的计算机试图利用Ping的方式来探测本机。如下方式(经过处理了，ip是假设的)：

[14:00:24] 210.29.14.45 尝试用Ping来探测本机，

该操作被拒绝。

[14:01:09] 210.29.14.132 尝试用Ping来探测本机，

该操作被拒绝。

[14:01:20] 210.29.14.85 尝试用Ping 来探测本机，

该操作被拒绝。

[14:01:20] 210.29.14.68 尝试用Ping 来探测本机，

该操作被拒绝。

此时就不是人为的原因了，所列机器感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞，一旦发现，即把病毒传播到这些机器上。

2.对于windows xp系统常见的报警

也分两种情况:

[18:58:37] 10.186.210.96试图连接本机的Blazer 5[5000]端口，

TCP标志：S，

该操作被拒绝。

系统因素：Blazer 5[5000]端口是winxp的服务器端口，windows XP默认启动的 UPNP服务，没有病毒木马也是打开的，大家看到的报警一般属于这种情况，因为本地或远程主机的5000端口服务异常，导致不断连接5000端口。

木马因素：有些木马也开放此端口，如木马blazer5开放5000端口，木马Sockets de roie开放5000、5001、5321端口等！但我看也没多少人用这种木马！

3.常见报警之QQ聊天服务器

[19:55:55] 接收到 218.18.95.163 的 UDP 数据包,

本机端口: 1214 ，

对方端口: OICQ Server[8000]

该包被拦截。

[19:55:56] 接收到 202.104.129.254 的 UDP 数据包，

本机端口: 4001 ，

对方端口: OICQ Server[8000]

该包被拦截。

这个防火墙日志是昨天在校园网的“谈天说地”上抄下来的,腾讯QQ服务器端开放的就是8000端口.一般是QQ服务器的问题，因为接受不到本地的客户响应包，而请求不断连接，还有一种可能就是主机通过QQ服务器转发消息，但服务器发给对方的请求没到达，就不断连接响应了(TCP三次握手出错了，我是这么认为的，具体没找到权威资料，可能说的不对，欢迎指正。)

4.共享端口之135,139,445（一般在局域网常见）

又要分几种情况：

135端口是用来提供RPC通信服务的，445和139端口一样，是用来提供文件和打印机共享服务的。

[20:01:36] 218.8.124.230试图连接本机的NetBios-SSN[139]端口，

TCP标志：S，

该操作被拒绝。

[16:47:24] 60.31.133.146试图连接本机的135端口，

TCP标志：S，

该操作被拒绝。

[16:47:35] 60.31.135.195试图连接本机的CIFS[445]端口，

TCP标志：S，

该操作被拒绝。

第一种：正常情况,局域网的机器共享和传输文件(139端口)。

第二种：连接你的135和445端口的机器本身应该是被动地发数据包，或者也有可能是正常的、非病毒的连接——虽然这个可能性比较小。

第三种：无聊的人扫描ip段，这个也是常见的，初学黑客技术都这样，十足的狂扫迷，但往往什么也没得到，这种人应该好好看看TCP/IP协议原理。

第四种：连接135端口的是冲击波（Worm.Blaster）病毒，“尝试用Ping来探测本机”也是一种冲击波情况（internet），这种135端口的探测一般是局域网传播，现象为同一个ip不断连接本机135端口，此时远程主机没打冲击波补丁，蠕虫不断扫描同一ip段(这个是我自己的观点，冲击波的广域网和局域网传播方式估计不同吧，欢迎指正！)

第五种：某一IP连续多次连接本机的NetBios-SSN[139]端口，表现为时间间隔短，连接频繁。

防火墙日志中所列计算机此时感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点，它们会搜寻局域网内一切可用的共享资源，并会将病毒复制到取得完全控制权限的共享文件夹内，以达到病毒传播之目的。这种人应该同情下，好好杀毒吧！

5.防火墙常见报警之高端端口

可以分下列情况：

第一种：

[7:49:36] 接收到 64.74.133.9 的 UDP 数据包，

本机端口: 33438 ，

对方端口: 10903

该包被拦截。

这种情况一般是游戏开放的服务端口，一般范围在27910~~27961,因此来自这一端口范围的UDP包或发送到这一端口范围的UDP包通常是游戏。爱好游戏的朋友会收到类似的端口连接。比如启动CS后创建了两个端口44405和55557。奇迹服务器好象是55960和55962端口。

第二种：

[18:34:16] 接收到 210.29.14.86 的 UDP 数据包，

本机端口: 6884 ，

对方端口: 6881

该包被拦截。

这个是BT服务端口(6881~~6889)，每个bt线程占用一个端口，据说只能开9个，但有时候防火墙报警，原因是防火墙过滤了这些端口。开放这些端口或关闭防火墙才能用BT。多说几句，一些同学反映不能用BT，我给出我自己的分析，因为学校的路由器或交换机限制了这些端口，不能使其BT端口全部打开。

解决方法(可能不怎么管用，参考下)：端口映射，换默认端口，开放默认端口！

再给点网上的资料：常用游戏端口

中国游戏中心 TCP 8000

联众世界 TCP 2000

网易泡泡 UDP 4001

边锋网络游戏世界 TCP 4000

中国围棋网 TCP 9696

笨苹果游戏互动网 UDP 5000

上海热线游戏频道 TCP 8000

凯思帝国游戏在线 TCP 2050

防火墙日志解析中对于端口的介绍就总结到这，有兴趣的读者可以继续关注这方面的内容。

6.常见攻击之IGMP数据包

[23:11:48] 接收到210.29.14.130的IGMP数据包

该包被拦截

[23:11:48] 接收到210.29.14.130的IGMP数据包

该包被拦截

这是日志中最常见的，也是最普遍的攻击形式。IGMP（Internet Group Management Protocol）是用于组播的一种协议，实际上是对Windows的用户是没什么用途的，但由于Windows中存在IGMP漏洞，当向安装有windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时，会导致系统TCP/IP栈崩溃，系统直接蓝屏或死机，这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则，只要选中就可以了。

碰到这种情况可以分两种：一种是你得罪他了，和你有仇；另一种就是攻击者吃饱了撑的或是一个破坏狂！

7.常见端口的日志记录

没什么影响：

[12:37:57] 192.168.177.16试图连接本机的FTP Open Server 端口，

TCP标志：S，

该操作被拒绝。

这个也分两种，一种是有人想探测你的主机是不是开放了21端口，想看看共享资源；另一种是用扫描器扫ip段的ftp服务端口，一般没什么恶意。

[23:08:34] 221.208.47.102试图连接本机的Wingate[1080]端口，

TCP标志：S，

该操作被拒绝。

这个是有人扫描ip段中的代理服务器，一般代理服务器默认端口常见的如Wingate[1080]，ccproxy[808,1080]等等，也没什么关系。

[12:37:57] 192.168.177.16试图连接本机的试图连接本机的http[80]端口，

TCP标志：S，

该操作被拒绝。

日志分析先到此为止，一般上网的用户都有这种情况，网站服务器的回显等等啊，出现一两个这样的报警没关系的。可能还有一些常见的端口,噢，个人能力有限啊，想起来再整理吧！

8.真正想入侵你机器的日志(值得注意)：

[11:13:55] 219.130.135.151试图连接本机的3389端口，

TCP标志：S，

该操作被拒绝。

这种人应该引起高度重视，3389这么恐怖的事情都来，还记得2000系统的3389输入法漏洞吗，当年菜鸟的最爱。

[11:13:55] 210.29.14.130试图连接本机的1433端口，

TCP标志：S，

该操作被拒绝。

[11:13:55] 210.29.14.130试图连接本机的23端口，

TCP标志：S，

该操作被拒绝。

[11:13:55] 210.29.14.130试图连接本机的4899端口，

TCP标志：S，

该操作被拒绝。

不多说了，都是黑客们的最爱,如果想知道具体的就去网Down吧！

9.洪水攻击SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻击。

因为条件的限制，我没有模拟，大概日志应该如下：

[11:13:55] 接收到210.29.14.130的SYN Flood攻击，

该操作被拒绝。

遇到这种情况，人品就要考虑下了！关于如何防范，还有别的事，不想长篇大论了！网上资料也很多的~~~

10.木马端口的扫描日志

这次我列具体点，现在木马泛滥：

[11:13:55] 210.29.14.130试图连接本机的木马冰河[7626]端口，

TCP标志：S，

该操作被拒绝。

(冰河木马的端口，呵呵，黑迷们的最爱啊)

[11:13:55] 210.29.14.130试图连接本机6267端口，

TCP标志：S，

该操作被拒绝。

(注:广外女生木马的默认端口，很经典的一个国产木马。)

[11:13:55] 210.29.14.130试图连接本机5328端口，

TCP标志：S，

该操作被拒绝。

(注：风雪木马的默认端口)