Utgåva
Lösning
Du kan stöta på följande händelsenamn i ESET Firewall-loggen.
Rule definition file not loaded - EPFW-modulen är inte korrekt inläst.
Ingen användbar regel hittades - Inkommande anslutningar i automatiskt läge matchar inte någon regel, därför nekas de som standard.
Felaktigt Ethernet-paket - Ett för kort paket togs emot. Paketet är för kort för att innehålla giltig Ethernet- eller IP/IPv6-header.
Felaktig IP-paketslängd - Paketet är kortare än vad som anges i dess IPv4/IPv6-header, eller så är paketet ICMP och för kort för att innehålla ICMP-header.
Felaktig kontrollsumma för IP-paketet - Fel kontrollsumma i IPv4-huvudet. Checksummevalidering måste vara aktiverad i avancerade alternativ (separat för in och ut).
Felaktig TCP-paketslängd - TCP-paketet är för kort för att innehålla TCP-paketets header.
Felaktig checksumma i TCP-paketet - Fel checksumma i TCP-headern. Checksummevalidering måste vara aktiverad i avancerade alternativ (separat för in och ut).
Felaktig UDP-paketslängd - UDP-paketet är för kort för att innehålla UDP-header.
Misstänkt fragment av IP-paket - Misstänkt fragmentering enligt RFC1858.
Okänd version av IP-paket - Fel IP-version anges i IPv4-paketet.
Felaktig kontrollsumma för UDP-paket - Fel kontrollsumma i UDP-rubriken. Checksummevalidering måste aktiveras i avancerade alternativ (separat för in och ut).
Ingen applikation lyssnar på porten - Anslutningsförsök till en port där ingen applikation lyssnar. Det spelar ingen roll om den här anslutningen tillåts eller nekas om det fanns ett program som lyssnade.
Kommunikation nekad av regel - Regel med LOG-åtgärd matchades, eller "Logga allt som blockeras" är valt i avsnittet Felsökning.
Kommunikation tillåten enligt regel - Regel med LOG-åtgärd matchades.
Beslut om att tillåta kommunikation delegerat till användaren - Regel med LOG-åtgärd matchades.
Upptäckt attack mot säkerhetshål - Skadliga data överförs i ett applikationsprotokoll (t.ex. DCE/RPC, SMB).
Försök att attackera den här datorn med worm - Skadlig data överförs i ett applikationsprotokoll (t.ex. DCE/RPC, SMB).
Försök att skicka mask från den här datorn -Skadlig data överförs i ett applikationsprotokoll (t.ex. DCE/RPC, SMB).
Detected Port Scanning attack - Någon försöker ansluta till många olika portar på din dator under en kort tidsperiod.
Detected ARP cache poisoning attack - Någon försöker uppdatera din ARP-cache med en annan MAC-adress än den som redan finns i cachen.
Upptäckt DNS cache poisoning attack - Mottog DNS-svar som inte begärts. (Innehåller vanligtvis olika domänadresser).
Detected ICMP Flooding attack - Mottog många ICMP-paket från en viss IP inom en kort tid.
Detected TCP Flooding attack - Mottog många TCP SYN-paket (anslutningsförfrågningar) från en viss IP inom en kort tid.
Identiska IP-adresser upptäckta i nätverket - Mottog två ARP-svar för en viss IP med olika MAC-adresser (en standardiserad nätverksadress som tilldelas nätverksgränssnitt för kommunikation i det fysiska nätverket) inom en kort tidsperiod.
TCP-paketet tillhör inte någon öppen anslutning - TCP-paketet tillhör inte något befintligt flöde.
Detected covert channel exploit in ICMP packet - Oväntade data hittades i ICMP-ekomeddelanden. Användaren kan ha ett program som implementerar PING eller köra Linux som en virtuell dator. Att tillåta kommunikation för överbryggade anslutningar kan bidra till att undvika falska positiva resultat från virtuella datorer.
Upptäckte oväntade data i protokollet - Felaktigt formaterade ARP-, DNS- eller ICMP-ekopaket. Eller nollport i TCP/UDP/.
Adress tillfälligt blockerad av aktivt försvar (IDS) - IP-adressen var tidigare blockerad av aktivt försvar. Blockering av osäkra adresser efter detektering bör aktiveras.
Packet blocked by active defense (IDS) - Paketet blockerades av IDS utan specifik anledning. Du bör inte se den här loggen.
