Što znače oznake u ESET-ovom dnevniku mrežne zaštite (firewalla)?

Što znače oznake u ESET-ovom dnevniku mrežne zaštite (firewalla)?

Pitanja i odgovori

Instalacija

Pitanje

  • U ESET-ovom Dnevniku mrežne zaštite (firewalla) možete naći niz naziva događaja, što oni znače?

Više informacija:

Za više informacija o ESET-ovim Dnevnicima mrežne zaštite, kada otvorite te Dnevnike možete pritisnuti tipku F1 na tipkovnici kako biste pristupili sustavu Online pomoći odgovarajućeg ESET-ovog programa.
Tamo pod Sadržaj odaberite Rad s programomMrežna zaštitaZapisivanje.

Za instrukcije o tome kako pristupiti Dnevnicima i dostaviti nam ih za analizu pročitajte ovaj naš članak baze znanja

Odgovor

U nastavku ovog teksta možete pronaći nazive događaja i njihove opise:

Datoteka definicija pravila nije učitana (eng: Rule definition file not loaded) - EPFW modul nije ispravno učitan.
Nije pronađeno iskoristivo pravilo (eng: No usable rule found) - Dolazne veze u automatskom načinu rada ne podudaraju se ni s jednim pravilom, zbog čega su odbijene prema zadanim postavkama.
Neispravan Ethernet paket (eng: Incorrect Ethernet packet) - Primljen je prekratki paket. Paket je prekratak da bi sadržavao ispravna Ethernet ili IP/IPv6 zaglavlja.
Neispravna duljina IPS paketa (eng: Incorrect IP packet length) - Paket je kraći no što je indicirano u njegovom IPv4/IPv6 zaglavlju, ili je paket ICMP-a prekratak da bi sadržavao ICMP zaglavlje.
Netočan kontrolni zbroj IP paketa (eng: Incorrect IP packet checksum) - Pogrešan kontrolni zbroj u IPv4 zaglavlju. Ovjeravanje kontrolnog zbroja mora biti omogućeno u naprednim opcijama (odvojeno za ulaz i za izlaz).
Neispravna duljina TCP paketa (eng: Incorrect TCP packet length) - TCP paket je prekratak da bi sadržavao zaglavlje TCP paketa.
Netočan kontrolni zbroj TCP paketa (eng: Incorrect TCP packet checksum) - Pogrešan kontrolni zbroj u TCP zaglavlju. Ovjeravanje kontrolnog zbroja mora biti omogućeno u naprednim opcijama (odvojeno za ulaz i za izlaz).
Neispravna duljina UPD paketa (eng: Incorrect UPD packet length) - UDP paket je prekratak da bi sadržavao zaglavlje UDP paketa.
Sumnjivi fragment IP paketa (eng: Suspicious IP packet fragment) - Sumnjiva fragmentacija prema pravilu RFC1858.
Nepoznata verzija IP paketa (eng: Unknown IP packet version) - Pogrešna IP verzija navedena u IPv4 paketu.
Netočan kontrolni zbroj UDP paketa (eng: Incorrect UDP packet checksum) - Pogrešan kontrolni zbroj u UDP zaglavlju. Ovjeravanje kontrolnog zbroja mora biti omogućeno u naprednim opcijama (odvojeno za ulaz i za izlaz).
Nijedna aplikacija ne osluškuje na portu (eng: No application listening on the port) - pokušaji konekcije na port koji ne osluškuje ni jedna aplikacija. Nije bitno da li će ova konekcija biti dozvoljena ili zabranjena ako postoji aplikacija koja osluškuje na tom portu.
Komunikacija zabranjena prema pravilu (eng: Communication denied by rule) - Aktivirano je pravilo s akcijom zapisivanja u Dnevnik, ili je u sekciji rješavanja problema odabrana opcija "Zabilježi sve blokirano"
Komunikacija dozvoljena prema pravilu (eng: Communication allowed by rule) - Aktivirano je pravilo s akcijom zapisivanja u Dnevnik.
Odluka o dozvoljavanju komunikacije prepuštena je korisniku (eng: Decision on allowing communication delegated to user) - Aktivirano je pravilo s akcijom zapisivanja u Dnevnik.
Otkriven napad na sigurnosnu rupu (eng: Detected attack against security hole) - Maliciozni podaci prenose se u aplikacijskom protokolu (kao što su DCE/RPC, SMB).
Pokušaj napada na ovo računalo od strane crva (eng: Attempt to attack this computer by worm) - Maliciozni podaci prenose se u aplikacijskom protokolu (kao što su DCE/RPC, SMB).
Pokušaj slanja crva s ovog računala (eng: Attempt to send worm from this computer) - Maliciozni podaci prenose se u aplikacijskom protokolu (kao što su DCE/RPC, SMB).
Otkriven napad skeniranjem portova (eng: Detected Port Scanning attack) - Netko se pokušava spojiti na mnogo različitih portova na računalu u kratkom vremenskom razdoblju.
Otkriven napad trovanjem ARP predmemorije (eng: Detected ARP cache poisoning attack) - Netko pokušava ažurirati vašu ARP predmemoriju s drugačijim MAC adresama no što su već spremljene u ARP predmemoriji.
Otkriven napad trovanjem DNS predmemorije eng: Detected DNS cache poisoning attack) - Primljeni DNS odgovori koji nisu bili zatraženi (uobičajeno sadrže adrese drugih domena).
Otkriven napad preplavljivanjem ICMP (eng: Detected ICMP Flooding attack) - U kratkom vremenskom razdoblju primljeno mnogo ICMP paketa s jedne IP adrese.
Otkriven napad preplavljivanjem TCP (eng: Detected TCP Flooding attack) - U kratkom vremenskom razdoblju primljeno mnogo TCP SYN paketa (zahtjeva za povezivanjem) s jedne IP adrese.
Na mreži otkrivene identične IP adrese (eng: Identical IP addresses detected in network) - Primljena dva ARP odgovora s različitim MAC adresama za jednu određenu IP adresu (standardizirana mrežna adresa dodijeljena mrežnim sučeljima za komunikaciju na fizičkoj mreži) u kratkom vremenskom razdoblju.
TCP paket koji ne pripada ni jednoj otvorenoj konekciji (eng: TCP packet not belonging to any open connection) - TCP paket koji ne pripada ni jednom postojećem tijeku.
Otkriveno je korištenje tajnog kanala u ICMP paketu (eng: Detected covert channel exploit in ICMP packet) - Neočekivani podaci pronađeni u paketu odgovora ICMP-a. korisnici možda imaju aplikaciju koja koristi PING ili su pokrenuli LINUX kao virtualno računalo. Dopuštanje komunikacija za premoštene veze može pomoći da se izbjegnu lažno pozitivne prijave s virtualnih računala
U protokolu otkriveni neočekivani podaci (eng: Detected unexpected data in protocol) - Nepravilno formatirani paketi odgovora ARP, DNS ili ICMP. Ili port nula (0) u TCP/UDP.
Adresa privremeno blokirana aktivnom obranom (IDS) (eng: Address temporarily blocked by active defense [IDS]) - IP adresa je bila blokirana aktivnom obranom (IDS). Blokiranje nesigurnih adresa nakon detekcije trebalo bi biti omogućeno.
Paket blokiran aktivnom obranom (IDS) (eng: Packet blocked by active defense [IDS]) - Paket je bio blokiran aktivnom obranom (IDS) bez specifičnih razloga. Vi ne biste trebali vidjeti taj dnevnik.

Dodatne informacije i linkovi na povezane članke baze znanja

(posljednji puta revidirano 02.05.2018)
SOLN2958
ID205
https://support.eset.com/en/what-do-firewall-log-codes-mean

Avatar

Author: NORT