Udgave
Løsning
Du kan støde på følgende hændelsesnavne i ESET Firewall-loggen.
Regeldefinitionsfilen er ikke indlæst - EPFW-modulet er ikke indlæst korrekt.
Ingen brugbar regel fundet - Indgående forbindelser i automatisk tilstand matcher ikke nogen regel, derfor afvises de som standard.
Forkert Ethernet-pakke - Der blev modtaget en for kort pakke. Pakken er for kort til at indeholde en gyldig Ethernet- eller IP/IPv6-header.
Forkert IP-pakkelængde - Pakken er kortere end angivet i dens IPv4/IPv6-header, eller pakken er ICMP, og den er for kort til at indeholde ICMP-header.
Forkert kontrolsum for IP-pakken - Forkert kontrolsum i IPv4-headeren. Checksum-validering skal være aktiveret i avancerede indstillinger (separat for ind og ud).
Forkert TCP-pakkelængde - TCP-pakken er for kort til at indeholde TCP-pakkeoverskriften.
Forkert kontrolsum for TCP-pakke - Forkert kontrolsum i TCP-overskriften. Checksum-validering skal være aktiveret i avancerede indstillinger (separat for ind og ud).
Forkert UDP-pakkelængde - UDP-pakken er for kort til at indeholde UDP-overskriften.
Mistænkeligt IP-pakkefragment - Mistænkelig fragmentering i henhold til RFC1858.
Ukendt IP -pakkeversion - Forkert IP-version angivet i IPv4-pakken.
Forkert UDP-pakkekontrolsum - Forkert kontrolsum i UDP-overskriften. Checksum-validering skal aktiveres i avancerede indstillinger (separat for ind og ud).
Ingen applikation lytter på porten - Forbindelsesforsøg til en port, hvor ingen applikation lytter. Det er ligegyldigt, om denne forbindelse vil blive tilladt eller afvist, hvis der var et program, der lyttede.
Kommunikation afvist af regel - Regel med LOG-handling blev matchet, eller "Log alle blokerede" er valgt i afsnittet Fejlfinding.
Kommunikation tilladt af regel - Regel med LOG-handling blev matchet.
Beslutning om at tillade kommunikation uddelegeret til bruger - Regel med LOG-handling blev matchet.
Opdaget angreb mod sikkerhedshul - Ondsindede data overføres i en applikationsprotokol (f.eks. DCE/RPC, SMB).
Forsøg på at angribe denne computer med worm - Skadelige data overføres i en applikationsprotokol (f.eks. DCE/RPC, SMB).
Forsøg på at sende orm fra denne computer -ondsindede data overføres i en applikationsprotokol (f.eks. DCE/RPC, SMB).
Detected Port Scanning attack - Nogen forsøger at oprette forbindelse til mange forskellige porte på din computer inden for et kort tidsrum.
Detected ARP cache poisoning attack - Nogen forsøger at opdatere din ARP-cache med en anden MAC-adresse end den, der allerede er cached.
Detected DNS cache poisoning attack- Modtaget DNS-svar, der ikke er anmodet om. (Indeholder normalt forskellige domæneadresser).
Detected ICMP Flooding attack - Modtog mange ICMP-pakker fra en bestemt IP inden for kort tid.
Opdaget TCP Flooding-angreb - Modtaget mange TCP SYN-pakker (forbindelsesanmodninger) fra en bestemt IP inden for kort tid.
Identiske IP-adresser opdaget i netværket - Modtog to ARP-svar for en bestemt IP med forskellige MAC-adresser (en standardiseret netværksadresse, der er tildelt netværksgrænseflader til kommunikation på det fysiske netværk) inden for en kort periode.
TCP-pakke hører ikke til nogen åben forbindelse - TCP-pakken hører ikke til noget eksisterende flow.
Detected covert channel exploit in ICMP packet - Uventede data fundet i ICMP-ekko-beskeder. Brugeren har måske et program, der implementerer PING, eller kører måske Linux som en virtuel computer. At tillade kommunikation for broforbindelser kan hjælpe med at undgå falske positiver fra virtuelle computere.
Opdagede uventede data i protokollen - Forkert formaterede ARP-, DNS- eller ICMP-ekko-pakker. Eller nul port i TCP/UDP/.
Adresse midlertidigt blokeret af aktivt forsvar (IDS) - IP-adresse var tidligere blokeret af aktivt forsvar. Blokering af usikre adresser efter detektion bør være aktiveret.
Pakke blokeret af aktivt forsvar (IDS) - Pakken blev blokeret af IDS uden specifik grund. Du bør ikke se denne log.
