Problemstilling
Løsning
Du kan støte på følgende hendelsesnavn i ESET-brannmurloggen.
Regeldefinisjonsfil ikke lastet inn - EPFW-modulen er ikke lastet inn på riktig måte.
Ingen brukbar regel funnet - Innkommende tilkoblinger i automatisk modus samsvarer ikke med noen regel, og de blir derfor avvist som standard.
Feil Ethernet-pakke - En for kort pakke ble mottatt. Pakken er for kort til å inneholde gyldig Ethernet- eller IP/IPv6-overskrift.
Feil IP-pakkelengde - Pakken er kortere enn angitt i IPv4/IPv6-hodet, eller pakken er ICMP og er for kort til å inneholde ICMP-hode.
Feil sjekksum for IP-pakke - Feil sjekksum i IPv4-hodet. Sjekksumvalidering må være aktivert i avanserte alternativer (separat for inn og ut).
Feil TCP-pakkelengde - TCP-pakken er for kort til å inneholde TCP-pakkehodet.
Feil TCP-pakke sjekksum - Feil sjekksum i TCP-hodet. Sjekksumvalidering må være aktivert i avanserte alternativer (separat for inn og ut).
Feil UDP-pakkelengde - UDP-pakken er for kort til å inneholde UDP-hodet.
Mistenkelig IP-pakkefragment - Mistenkelig fragmentering i henhold til RFC1858.
Ukjent IP -pakkeversjon - Feil IP-versjon angitt i IPv4-pakken.
Feil UDP-pakkekontrollsum - Feil kontrollsum i UDP-hodet. Sjekksumvalidering må være aktivert i avanserte alternativer (separat for inn og ut).
Ingen applikasjon som lytter på porten - Tilkoblingsforsøk til en port der ingen applikasjoner lytter. Det spiller ingen rolle om denne tilkoblingen vil bli tillatt eller avslått hvis det var et program som lyttet.
Kommunikasjon nektet av regel - Regel med LOG-handling ble matchet, eller "Logg alt blokkert" er valgt i feilsøkingsdelen.
Kommunikasjon tillatt av regel - Regel med LOG-handling ble matchet.
Beslutning om å tillate kommunikasjon delegert til bruker - Regel med LOG-handling ble matchet.
Oppdaget angrep mot sikkerhetshull - Skadelige data overføres i en applikasjonsprotokoll (for eksempel DCE/RPC, SMB).
Forsøk på å angripe denne datamaskinen med worm - Skadelige data overføres i en applikasjonsprotokoll (for eksempel DCE/RPC, SMB).
Forsøk på å sende orm fra denne datamaskinen -Skadelige data overføres i en applikasjonsprotokoll (for eksempel DCE/RPC, SMB).
Detected Port Scanning attack - Noen prøver å koble seg til mange forskjellige porter på datamaskinen din i løpet av kort tid.
Detected ARP cache poisoning attack - Noen prøver å oppdatere ARP-cachen din med en annen MAC-adresse enn den som allerede er lagret.
Detected DNS cache poisoning attack - Mottatt DNS-svar som det ikke ble bedt om. (Inneholder vanligvis forskjellige domeneadresser).
Detected ICMP Flooding attack - Mottatt mange ICMP-pakker fra én bestemt IP i løpet av kort tid.
Oppdaget TCP Flooding-angrep - Mottok mange TCP SYN-pakker (tilkoblingsforespørsler) fra én bestemt IP i løpet av kort tid.
Identiske IP-adresser oppdaget i nettverket - Mottok to ARP-svar for én bestemt IP med forskjellige MAC-adresser (en standardisert nettverksadresse som er tilordnet nettverksgrensesnitt for kommunikasjon i det fysiske nettverket) i løpet av kort tid.
TCP-pakke som ikke tilhører noen åpen tilkobling - TCP-pakken tilhører ikke noen eksisterende flyt.
Detected covert channel exploit in ICMP packet - Uventede data funnet i ICMP-ekko-meldinger. Brukeren kan ha et program som implementerer PING, eller kanskje kjører Linux som en virtuell datamaskin. Hvis du tillater kommunikasjon for broforbindelser, kan det bidra til å unngå falske positiver fra virtuelle datamaskiner.
Oppdaget uventede data i protokollen - Feilformaterte ARP-, DNS- eller ICMP-ekopakker. Eller null port i TCP/UDP/.
Adresse midlertidig blokkert av aktivt forsvar (IDS) - IP-adressen var tidligere blokkert av aktivt forsvar. Blokkering av usikre adresser etter deteksjon bør være aktivert.
Pakke blokkert av aktivt forsvar (IDS) - Pakken ble blokkert av IDS uten spesifikk grunn. Du bør ikke se denne loggen.
