ATK_IP4_IPSWEEP_SZ
ATK_IP4_IMPOSSIBLE_SZ
ATK_IP4_IMPOSSIBLE_RAW_SZ
ATK_IP4_ACK_FLOOD_SZ
ATK_IP4_PORTSCAN_SZ
诸位大佬,由于是小白,请多多指教,请描述详细点,不要别模糊带过,谢谢!如上面的5种日志,防火墙每天都有很多,现想咨询一下的几个问题:
1、日志中带有RAW字样和不带RAW字样的有什么区别?
2、日志中 SZ字样是什么意思?
3、以上的5种日记,每天都有发现非常多,而且95%以上都是内网ip为源地址触发的日志,电脑也都全盘查杀病毒了,没扫到病毒,我想知道什么情况下会触发这类日志和具体的排查步骤,麻烦大佬告知,谢谢。。。
官方的一些日志说明看过了,但感觉不够详细,比如下面的几种的官方说明:
1、ATK_IP4_IPSWEEP_SZ 3 报文满足ipsweep时触发日志
2、ATK_IP4_DIS_PORTSCAN_SZ 3 报文满足分布式portscan时触发日志
3、ATK_IP4_ACK_FLOOD_SZ 3 单位时间内指定目的地址的TCP标志位为ACK的IPV4报文数超过阈值,触发日志
但我的疑问是:
1、“ 报文满足ipsweep时触发日志”这里面的“报文满足”是什么情况下满足?
2、“ 报文满足分布式portscan时触发日志 ”这里面的“报文满足”是什么情况下满足?
3、“单位时间内指定目的地址的TCP标志位为ACK的IPV4报文数超过阈值,触发日志”这里面的“单位时间”指的是多少?
(0)
最佳答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
大佬,这个日志的PDF我看过了。。。没法解决我的疑问呀