كيفية التعرف على الهجمات الضارة المحتملة على الجدران النارية

سواء كنت تدرك ذلك أم لا ، فإن جدار الحماية الخاص بك يتعرض للهجوم باستمرار. من البرامج التلقائية التي تقوم بالبحث عن الشبكات الضعيفة إلى المتسللين المتمرسين الذين يحاولون اختراق الشبكة الخاصة بك وتثبيت Trojan أو rootkit ، يقوم جدار الحماية الخاص بك بشكل مستمر بحظر حركة المرور من المصادر غير المصرح بها على الإنترنت. تتوفر معلومات حول الهجمات والحزم التي يقوم جدار الحماية بحظرها في ملفات سجل جدار الحماية. افحص السجلات لتحديد الهجمات لمعرفة من أين نشأت وتحديد ما إذا كانت أي هجمات ناجحة في الوصول إلى شبكتك.

التعرف على منفذ المسح الضوئي

يستخدم بعض المتطفلين ماسحات ضوئية للمنفذ لفحص المنافذ على جدار الحماية وتحديد ما إذا كانت هناك منافذ مفتوحة أم لا. قد يقوم المهاجم بفحص كافة المنافذ أو قد يقوم بمسح بعض الموانئ بشكل انتقائي حيث نجح أحد عمليات الاستغلال في الماضي. ابحث عن الإدخالات في السجل حيث منع جدار الحماية الخاص بك الوصول من نفس عنوان IP إلى منافذ متعددة. على سبيل المثال ، قد ترى إدخالات مشابهة لما يلي:

طلب اتصال TCP الوارد المحظور من 96.47.225.82:6000 إلى 64.233.160.105:9333 طلب اتصال TCP الوارد المحظور من 96.47.225.82:6000 إلى 64.233.160.105:9334 طلب اتصال TCP الوارد المحظور من 96.47.225.82:6000 إلى 64.233.160.105: 9335 طلب اتصال TCP الوارد المحظور من 96.47.225.82:6000 إلى 64.233.160.105:9336

Identifty طلب اتصال منفذ واحد

يجب أن تكون أيضًا قلقًا بشأن طلبات الاتصال المتعددة في أوقات مختلفة وربما من عناوين IP مختلفة إلى رقم منفذ واحد لا يتم استخدامه. سيتحقق المخترق غالبًا للتأكد من أن المنفذ الذي يريد استخدامه مع برنامج حصان طروادة أو برامج ضارة أخرى ليس قيد الاستخدام من قبل خدمة أخرى. على سبيل المثال ، قد ترى إدخالات مشابهة لما يلي:

طلب اتصال TCP الوارد المحظور من 96.47.225.82:49343 إلى 64.233.160.105:31337 تكرر الرسالة الواردة أعلاه 107 مرة

تحديد الحزم الصادرة السيئة وتسجيلات الدخول جدار الحماية

ابحث عن الرسائل التي تنشأ من داخل شبكتك والتي يمنعها جدار الحماية إذا كان لديك حصان طروادة موجود داخل جدار الحماية. على سبيل المثال ، ابحث عن إدخالات السجل مثل:

حزمة TCP المنتهية ولايته من 192.168.1.100:51195 إلى 96.47.225.82:443 كـ FIN: تلقي ACK ولكن لا يوجد اتصال نشط تكرر الرسالة السابقة 9 مرات

حدد أي محاولات لتسجيل الدخول إلى جدار الحماية نفسه وتغيير الإعدادات. على سبيل المثال ، قد ترى إدخال سجل مثل:

مصادقة التكوين المحظور بواسطة عنوان IP 96.47.225.82:6000 أعلى الرسالة مكررة 5 مرات

كشف التسلل

للمساعدة في تحديد الهجمات التي تخترق جدار الحماية بنجاح ، يمكنك تثبيت نظام كشف التسلل. على غرار كاميرا مراقبة مراقبة ، يراقب برنامج كشف التسلل ويحلل أنماط حركة المرور من خلال شبكتك وينبهك إلى ما يعتبره حركة مرور مشبوهة. ومع ذلك ، لا يمنع البرنامج أي حركة مرور على الشبكة. SNORT هو IDS مفتوحة المصدر المستندة إلى شبكة شعبية. OSSEC و Tripwire هي IDSs مفتوحة المصدر تعتمد على المضيف الشعبي.