Wydanie
Rozwiązanie
W dzienniku programu ESET Firewall mogą występować następujące nazwy zdarzeń.
Nie załadowano pliku definicji reguły - moduł EPFW nie został poprawnie załadowany.
Nie znaleziono użytecznej reguły - Połączenia przychodzące w trybie automatycznym nie pasują do żadnej reguły, dlatego są domyślnie odrzucane.
Nieprawidłowy pakiet Ethernet - Odebrano zbyt krótki pakiet. Pakiet jest zbyt krótki, aby zawierać prawidłowy nagłówek Ethernet lub IP/IPv6.
Nieprawidłowa długość pakietu IP - Pakiet jest krótszy niż wskazano w jego nagłówku IPv4/IPv6 lub pakiet jest ICMP i jest zbyt krótki, aby zawierać nagłówek ICMP.
Nieprawidłowa suma kontrolna pakietu IP - Nieprawidłowa suma kontrolna w nagłówku IPv4. Weryfikacja sumy kontrolnej musi być włączona w opcjach zaawansowanych (oddzielnie dla wejścia i wyjścia).
Nieprawidłowa długość pakietu TCP - pakiet TCP jest zbyt krótki, aby zawierać nagłówek pakietu TCP.
Nieprawidłowa suma kontrolna pakietu TCP - Nieprawidłowa suma kontrolna w nagłówku TCP. Walidacja sumy kontrolnej musi być włączona w opcjach zaawansowanych (oddzielnie dla wejścia i wyjścia).
Nieprawidłowa długość pakietu UDP - pakiet UDP jest zbyt krótki, aby zawierać nagłówek UDP.
Podejrzany fragment pakietu IP - Podejrzana fragmentacja zgodnie z RFC1858.
Nieznana wersja pakietu IP - Nieprawidłowa wersja IP wskazana w pakiecie IPv4.
Nieprawidłowa suma kontrol na pakietu U DP - Nieprawidłowa suma kontrolna w nagłówku UDP. Weryfikacja sumy kontrolnej musi być włączona w opcjach zaawansowanych (oddzielnie dla wejścia i wyjścia).
Brak aplikacji nasłuchującej na porcie - Próba połączenia z portem, na którym nie nasłuchuje żadna aplikacja. Nie ma znaczenia, czy połączenie zostanie dozwolone, czy odrzucone, jeśli aplikacja nasłuchuje.
Komunikacja odrzucona przez regułę - dopasowano regułę z akcją LOG lub wybrano opcję "Loguj wszystkie zablokowane" w sekcji Rozwiązywanie problemów.
Komunikacja dozwolona przez regułę - dopasowano regułę z akcją LOG.
Decyzja o zezwoleniu na komunikację delegowana do użytkownika - dopasowano regułę z akcją LOG.
Wykryto atak na lukę w zabezpieczeniach - złośliwe dane są przesyłane w protokole aplikacji (takim jak DCE/RPC, SMB).
Próba ataku na ten komputer przez worm - Złośliwe dane są przesyłane w protokole aplikacji (takim jak DCE/RPC, SMB).
Próba wysłania robaka z tego komputera -złośliwe dane są przesyłane w protokole aplikacji (takim jak DCE/RPC, SMB).
Wykryto Atak skanowania portów - Ktoś próbuje połączyć się z wieloma różnymi portami na komputerze w krótkim czasie.
Wykryto atak zatruwania pamięci podręcznej ARP - Ktoś próbuje zaktualizować pamięć podręczną ARP przy użyciu innego adresu MAC niż ten, który jest już zapisany w pamięci podręcznej.
Wykryto DNS cache poisoning attack - Otrzymano odpowiedź DNS, o którą nie proszono. (Zwykle zawiera różne adresy domen).
Wykryto atak ICMP Flooding - odebrano wiele pakietów ICMP z jednego konkretnego adresu IP w krótkim czasie.
Wykryto atak TCP Flo oding - Otrzymano wiele pakietów TCP SYN (żądań połączenia) z jednego określonego adresu IP w krótkim czasie.
Wykryto identyczne adresy IP w sieci - odebrano dwie odpowiedzi ARP dla jednego konkretnego adresu IP z różnymi adresami MAC (znormalizowany adres sieciowy przypisany do interfejsów sieciowych w celu komunikacji w sieci fizycznej) w krótkim okresie czasu.
Pakiet TCP nie należy do żadnego otwartego połączenia - pakiet TCP nie należy do żadnego istniejącego przepływu.
Detected covert channel exploit in ICMP packet - Nieoczekiwane dane znalezione w komunikatach echa ICMP. Użytkownik może mieć aplikację, która implementuje PING lub może być uruchomiony Linux jako komputer wirtualny. Zezwolenie na komunikację dla połączeń mostkowanych może pomóc uniknąć fałszywych alarmów z komputerów wirtualnych.
Wykryto nieoczekiwane dane w protokole - Nieprawidłowo sformatowane pakiety ARP, DNS lub ICMP echo. Lub zerowy port w protokole TCP/UDP/.
Adres tymczasowo zablokowany przez aktywną obronę (IDS) - Adres IP został wcześniej zablokowany przez aktywną obronę. Blokowanie niebezpiecznych adresów po wykryciu powinno być włączone.
Pakiet zablokowany przez aktywną obronę (ID S) - Pakiet został zablokowany przez IDS bez konkretnego powodu. Ten dziennik nie powinien być widoczny.
