问题
解决方案
您可能会在 ESET Firewall 日志中遇到以下事件名称。
未加载规则定义文件 - EPFW 模块未正确加载。
未找到可用规则 - 自动模式下的传入连接与任何规则都不匹配,因此默认情况下会被拒绝。
以太网数据包不正确- 收到的数据包太短。数据包太短,无法包含有效的以太网或 IP/IPv6 标头。
不正确的 IP 数据包长度- 数据包比 IPv4/IPv6 标头中指示的长度短,或者数据包是 ICMP,但太短而无法包含 ICMP 标头。
不正确的 IP 数据包校验和 - IPv4 报头中的校验和错误。必须在高级选项中启用校验和验证(输入和输出分开)。
不正确的 TCP 数据包长度 - TCP 数据包太短,无法包含 TCP 数据包头。
不正确的 TCP 数据包校验和- TCP 报头中的校验和错误。必须在高级选项中启用校验和验证(输入和输出分开)。
不正确的 UDP 数据包长度- UDP 数据包太短,无法包含 UDP 报头。
可疑 IP 数据包片段 - 根据 RFC1858 存在可疑片段。
未知 IP 数据包版本 - IPv4 数据包中显示的 IP版本 错误。
不正确的 UDP 数据包校验和 - UDP 报头中的校验和错误。必须在高级选项中启用校验和验证(输入和输出分开)。
端口上没有应用程序监听- 尝试连接到没有应用程序监听的端口。如果有应用程序监听,则允许或拒绝此连接无关紧要。
规则拒绝通信- 匹配了带 LOG 操作的规则,或在故障排除部分选择了 "记录所有阻止"。
规则允许通信- 已匹配带 LOG 操作的规则。
允许通信的决定权委托给用户- 匹配了带 LOG 操作的规则。
检测到针对安全漏洞的攻击 - 恶意数据正在应用协议(如 DCE/RPC、SMB)中传输。
试图通过 worm 攻击此计算机- 恶意数据正在应用协议(如 DCE/RPC、SMB)中传输。
试图从这台计算机发送蠕虫病毒--恶意数据正在应用协议(如 DCE/RPC、SMB)中传输。
检测到 端口扫描攻击- 有人试图在短时间内连接到您计算机上的多个不同端口。
检测到 ARP 缓存中毒攻击- 有人试图用不同于已缓存的 MAC 地址更新您的 ARP 缓存。
检测到 DNS 缓存中毒攻击 - 收到未请求的 DNS 回复。(通常包含不同的域名地址)。
检测到 ICMP 泛洪攻击- 在短时间内从一个特定 IP 接收到许多 ICMP 数据包。
检测到 TCP Flooding 攻击- 在短时间内从一个特定 IP 接收到许多 TCP SYN 数据包(连接请求)。
检测到网络中存在相同的 IP 地址- 在短时间内收到两个针对一个特定 IP 的 ARP 回复,但其 MAC 地址不同(分配给网络接口的标准化网络地址,用于物理网络通信)。
不属于任何开放连接的 TCP 数据包- TCP 数据包不属于任何现有流量。
在 ICMP 数据包 中检测到隐蔽信道漏洞- 在 ICMP echo 信息中发现意外数据。用户可能有实现 PING 的应用程序,也可能作为虚拟计算机运行 Linux。允许桥接连接通信有助于避免来自虚拟计算机的误报。
检测到协议中的意外数据- 格式不正确的 ARP、DNS 或 ICMP 回波数据包。或 TCP/UDP/ 中的零端口。
主动防御 (IDS) 暂时阻止的地址- IP 地址之前已被主动防御阻止。应启用检测后阻止不安全地址。
数据包被主动防御 (IDS) 阻止- 数据包被 IDS 阻止,没有具体原因。您不应看到此日志。
