全面解读Windows XP sp2 防火墙（4）_安全测试

全面解读Windows XP sp2 防火墙（4）

发表于：2007-06-23来源：作者：点击数：标签：

全面解读Windows XP sp2 防火墙七、没有人能PING到我的计算机在检查网络故障的使用通常用PING命令工具，PING一个IP确认该计算机是否存在，当你PING的时候，发送的是ICMP（Internet 控制消息协议，此通信用于错误和状态信息的传递） Echo messag信号，获

　　
　　全面解读Windows XP sp2 防火墙
七、没有人能PING到我的计算机

　　在检查网络故障的使用通常用PING命令工具，PING一个IP确认该计算机是否存在，当你PING的时候，发送的是ICMP（Internet 控制消息协议，此通信用于错误和状态信息的传递） Echo messag信号，获得的回应是ICMP Echo Reply message信号。在默认情况下，indows xp p2防火墙不允许ICMP Echo messages 入站数据进入，所以也就不会回复ICMP Echo Reply message数据报文了。

全面解读Windows XP sp2 防火墙（4）（图一）

如果启用了TCP端口445（比如在“例外”中启用了“文件和打印机共享”），那么别人是可以PING到你的IP的。另外，在防火墙的高级选项卡中选择ICMP设置，并且选择了“允许传入回现请求”也可以使别人能够PING到你的IP。八、关于远程协作和远程桌面。

　　通过Windows XP SP2防火墙实现远程协作的方法很简单，虽然远程协作使用的是动态端口。在防火墙设置对话框中的“例外”选项卡上“程序和服务”列表中选择“远程协作”项目，这样Windows自动监视并正确处理来自sessmgr.exe应用程序的所有通讯请求完成连接。

　　 Windows NetMeeting 的远程桌面要复杂一些，尽管在例外选项卡中有“远程桌面”选项，但是如果你选择这个选项，实际是开放了TCP的端口3389，也可能无法完成远程桌面连接，正确的方法是：在 Windows 防火墙打开的情况下，在可以使用 Windows NetMeeting 的远程桌面共享功能之前，必须向 Windows 防火墙的“例外”选项卡上“程序和服务”列表中分别为 Windows NetMeeting 和 Mnmsrvc.exe（ Drive:\Windows\System32 目录中）文件和conf.exe（Drive:\Program Files\NetMeeting 文件夹中）文件分别添加一个条目。

九、Windows XP SP2的防火墙日志的妙用

全面解读Windows XP sp2 防火墙（4）（图二）

日志记录可以帮助确定入站通信的来源，并提供有关被阻止的通信的详细信息。%Windir%\pfirewall.log 是默认的日志文件，这里记录的是成功的连接，看看都暴露了哪些信息，其中中文是作者说明文字。
pfirewall.log

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
表头：日期时间状态协议原IP 目标IP 原端口目标端口数据包大小 TCP 控制标志确认其他数据推入功能重置连接同步序列号紧急指针字段有效序列号确认号窗口大小 ICMP类型 ICMP代码信息条目
2004-09-08 00:55:39 OPEN UDP 219.154.214.145 202.102.224.68 1026 53 - - - - - - - - -
查询DNS服务器，DNS服务器地址是202.102.224.68
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 219.133.40.157 6001 8001 - - - - - - - - -
QQ开放UDP端口6001，目标地址219.133.40.157
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 202.104.129.254 4000 8000 - - - - - - - - -
QQ开放UDP端口4000，目标地址202.104.129.254
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 219.133.38.21 6001 8001 - - - - - - - - -
QQ开放UDP端口6001，目标地址219.133.38.21
2004-09-08 00:55:53 OPEN UDP 219.154.214.145 61.172.249.139 4000 8000 - - - - - - - - -
QQ开放UDP端口6001，目标地址61.172.249.139
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 202.102.224.68 1026 53 - - - - - - - - -
查询DNS服务器，DNS服务器地址是202.102.224.68
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 219.133.40.157 6001 8001 - - - - - - - - -
QQ通过UDP端口6001和目标地址219.133.40.157建立的通讯
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 219.133.38.21 6001 8001 - - - - - - - - -
QQ通过UDP端口6001和目标地址219.133.38.21建立的通讯

　　从中可以看出，通过分析日志可以搜集某项应用软件服务端（如QQ服务器）的IP地址，检查是否有木马悄悄开放了后门，确定某个软件建立连接时所需要的端口号，还可以查询攻击者的来源地址。下页附录详细解释了日志表头信息。

原文转自：http://www.ltesting.net

软件测试 > 测试技术 > 安全测试 >