[KB2958] Was bedeuten Log-Codes der Personal Firewall?

Lösung

Sie begegnen den folgenden Ereignisnamen eventuell im Firewall-Log in der ESET Smart Security.

HINWEIS:

Für weitere Informationen über das Firewall-Log drücken Sie bei geöffneter ESET Smart Security die Taste F1 auf Ihrer Tastatur, um in den Hilfe-Bereich zu gelangen. Suchen Sie in dem Tab Inhalt nach Die Arbeit mit ESET Smart Security Netzwerk Logging.

Für Anweisungen bezüglich der Übermittlung von Log-Dateien an den ESET Kundensupport zur Analyse, besuchen die den folgenden Artikel unserer Knowledgebase: Wo finde ich die Log-Daten, die mein ESET Produkt aufzeichnet?.

 
Rule definition file not loaded – EPFW-Modul ist nicht richtig geladen.

No usable rule found – Eingehende Verbindungen im automatischen Modus stimmen mit keiner Regel überein und werden deshalb standardmäßig blockiert.

Incorrect Ethernet packet – Ein zu kurzes Paket geht ein. Das Paket ist zu kurz, um einen gültigen Ethernet- oder IP/IPv6-Header zu beinhalten.

Incorrect IP packet length – Das Paket ist kürzer als es in seinem IPv4/IPv6-Header angezeigt wird oder bei dem Paket handelt es sich um ein ICMP, aber es ist zu kurz, um einen ICMP-Header zu beinhalten.

Incorrect IP packet checksum – Falsche Prüfsumme im IPv4-Header. Die Prüfsummenvalidierung muss unter den erweiterten Einstellungen aktiviert werden (jeweils für ein- und ausgehend).

Incorrect TCP packet length – TCP-Paket ist zu kurz, um einen TCP-Header zu beinhalten.

Incorrect TCP packet checksum – Falsche Prüfsumme im TCP-Header. Die Prüfsummenvalidierung muss unter den erweiterten Einstellungen aktiviert werden (jeweils für ein- und ausgehend).

Incorrect UDP packet length – UDP-Paket ist zu kurz, um einen UDP-Header zu beinhalten.

Suspicious IP packet fragment – Verdächtige Fragmentierung gemäß RFC1858.

Unknown IP packet version – Falsche IP-Version im IPv4-Paket angegeben.

Incorrect UDP packet checksum – Falsche Prüfsumme im UDP-Header. Die Prüfsummenvalidierung muss unter den erweiterten Einstellungen aktiviert werden (jeweils für ein- und ausgehend).

No application listening on the port – Verbindungsversuch zu einem Port, wo keine Anwendung reagiert. Es ist irrelevant, ob diese Verbindung erlaubt oder blockiert wird, wenn keine Anwendung reagiert hat.

Communication denied by rule – Regel mit LOG-Handlung wurde angepasst oder im Bereich Fehlerbehebung wurde “Log all blocked” ausgewählt.

Communication allowed by rule – Regel mit LOG-Handlung wurde angepasst.

Decision on allowing communication delegated to user – Regel mit LOG-Handlung wurde angepasst.

Detected attack against security hole – Schädliche Daten wurden in ein Anwendungsprotokoll (wie z.B. DCE/RPC, SMB) übertragen.

Attempt to attack this computer by worm Schädliche Daten wurden in ein Anwendungsprotokoll (wie z.B. DCE/RPC, SMB) übertragen.

Attempt to send worm from this computer – Schädliche Daten wurden in ein Anwendungsprotokoll (wie z.B. DCE/RPC, SMB) übertragen.

Detected Port Scanning attack Jemand versucht, sich in einem kurzen Zeitraum auf Ihrem Computer mit vielen verschiedenen Ports zu verbinden.

Detected ARP cache poisoning attack Jemand versucht, Ihr ARP-Cache mit einer anderen MAC-Adresse zu aktualisieren, als schon zwischengespeichert wurde.

Detected DNS cache poisoning attack – Empfangene DNS-Antwort nicht angefordert. (Beinhaltet normalerweise verschiedene Domain-Adressen).

Detected ICMP Flooding attack – Viele ICMP-Pakete gehen in einem kurzen Zeitraum von einer bestimmten IP aus ein.

Detected TCP Flooding attack – Viele TCP SYN-Pakte (Verbindungsanfragen) gehen in einem kurzen Zeitraum von einer bestimmten IP aus ein.

Identical IP addresses detected in network – Zwei ARP-Antworten für eine bestimmte IP mit verschiedenen MAC-Adressen (eine standardisierte Netzwerkadresse, die Netzwerkschnittstellen für die Kommunikation auf dem physischen Netzwerk zugeordnet ist) gehen in einem kurzen Zeitraum ein.

TCP packet not belonging to any open connection – TCP-Paket gehört zu keinem existierenden Ablauf.

Detected covert channel exploit in ICMP packet – Unerwartete Daten in ICMP-Echo-Nachrichten gefunden. Der Nutzer besitzt eventuell eine Anwendung, die PING implementiert oder führt Linux als virtuellen Computer aus. Die Kommunikation für überbrückte Verbindungen zu erlauben, kann dabei helfen, die Fehlalarme von virtuellen Computern zu verhindern.

Detected unexpected data in protocol Falsch formatierte ARP, DNS oder ICMP Echo-Pakte. Oder Zero-Port in TCP/UDP/.

Address temporarily blocked by active defense (IDS) IP-Adresse wurde vorher von IDS blockiert. Nach der Erkennung sollte die Blockierung von unsicheren Adressen aktiviert werden.

Packet blocked by active defense (IDS) – Paket wurde ohne bestimmten Grund von IDS blockiert. Diesen Log sollten sie nicht sehen.