3.常見報警之qq聊天服務器

[19:55:55] 接收到 218.18.95.163 的 UDP 數據包,

本機端口: 1214 ，

對方端口: OICQ Server[8000]

該包被攔截。

[19:55:56] 接收到 202.104.129.254 的 UDP 數據包，

本機端口: 4001 ，

對方端口: OICQ Server[8000]

該包被攔截。

這個防火墻日志是昨天在校園網的“談天說地”上抄下來的,騰訊QQ服務器端開放的就是8000端口.一般是qq服務器的問題，因為接受不到本地的客戶響應包，而請求不斷連接，還有一種可能就是主機通過qq服務器轉發消息，但服務器發給對方的請求沒到達，就不斷連接響應了(TCP三次握手出錯了，我是這么認為的，具體沒找到權威資料，可能說的不對，歡迎指正)

4.共享端口之135,139,445（一般在局域網常見）

又要分幾種情況：

135端口是用來提供RPC通信服務的，445和139端口一樣，是用來提供文件和打印機共享服務的。

[20:01:36] 218.8.124.230試圖連接本機的NetBios-SSN[139]端口，

TCP標志：S，

該操作被拒絕。

[16:47:24] 60.31.133.146試圖連接本機的135端口，

TCP標志：S，

該操作被拒絕。

[16:47:35] 60.31.135.195試圖連接本機的CIFS[445]端口，

TCP標志：S，

該操作被拒絕。

第一種：正常情況,局域網的機器共享和傳輸文件(139端口)。

第二種：連接你的135和445端口的機器本身應該是被動地發數據包，或者也有可能是正常的、非病毒的連接——雖然這個可能性比較小。

第三種：無聊的人掃描ip段，這個也是常見的，初學黑客技術都這樣，十足的狂掃迷，但往往什么也沒得到，這種人應該好好看看TCP/IP協議原理。

第四種：連接135端口的是沖擊波（Worm.Blaster）病毒，“嘗試用Ping來探測本機”也是一種沖擊波情況（internet），這種135端口的探測一般是局域網傳播，現象為同一個ip不斷連接本機135端口，此時遠程主機沒打沖擊波補丁，蠕蟲不斷掃描同一ip段(這個是我自己的觀點，沖擊波的廣域網和局域網傳播方式估計不同吧，歡迎指正！)

第五種：某一IP連續多次連接本機的NetBios-SSN[139]端口，表現為時間間隔短，連接頻繁。

防火墻日志中所列計算機此時感染了“尼姆達病毒”。感染了“尼姆達病毒”的計算機有一個特點，它們會搜尋局域網內一切可用的共享資源，并會將病毒復制到取得完全控制權限的共享文件夾內，以達到病毒傳播之目的。這種人應該同情下，好好殺毒吧！

【編輯推薦】

1. 防火墻常見日志詳細分析（1）
2. 防火墻常見日志詳細分析（3）
3. 防火墻常見日志詳細分析（4）
4. 防火墻常見日志詳細分析（5）