防火牆一直有TYPE=8的訊息，是被攻擊嗎？

網路安全 gateway

hjmitt 2013-10-07 09:33:55 ‧ 6707 瀏覽

我的防火牆會記錄進出IP和埠號！
一般正常都會寫進出的IP，
但是我常常看到一堆不同IP的埠號寫著「TYPE=8」，
因為是不同IP，也沒辦法全部都禁！
這是正常的進出封包嗎？
還是被不同IP攻擊呢！？

另外我就是接到hinet的攻擊通報！
親愛的HiNet用戶您好：
感謝您使用HiNet入侵防護服務。
在您租用本服務期間內，本系統將分析貴用戶之入侵防護阻擋紀錄，對嚴重的攻擊行為自動進行告警。
以下為本次告警內容：

您的內部主機: 211.x.x.x , 被偵測到有異常的 SQL-Inj-insert 對外攻擊行為, 這部電腦可能已經被病毒或惡意程式感染, 請利用防毒軟體掃描您的電腦. HN號碼: 7xxxxxxx 來源IP: 211.x.x.x 目標IP: 98.139.43.115 時間 : 2013/10/4 8:48:54

有我的外部ip，可是內部電腦滿多的，有點難查，有前輩可以建議一下怎麼查嗎？

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

bizpro

iT邦大師 1 級 ‧ 2013-10-07 10:18:59

最佳解答

Type 8是ICMP, 也就是ping, 表示一直在ping你的IP, 可以把ICMP關掉.

回應 2
分享
檢舉

CalvinKuo iT邦大師 7 級 ‧ 2013-10-07 12:10:58 檢舉

其實數量也是很有關係的，被 Port scanner 掃也是很常見的。你不熟設定可以找Abocom原廠協助。

bizpro iT邦大師 1 級 ‧ 2013-10-07 13:38:34 檢舉

這張圖上就有ICMP啊. 是port scan, 找漏洞的吧.

登入發表回應

winnt2000

iT邦新手 3 級 ‧ 2013-10-07 10:46:18

hjmitt提到：
SQL-Inj-insert

請問您這台主機是資料庫嗎? 不然怎麼會有SQL-Inj-insert攻擊。
再者對外的主機一定要將 ICMP(Ping)服務關閉，避免被人掃描到遭受攻擊。
如果這台主機一定要對外的話，請將必要的服務 Port開啟，其餘的都關閉掉。
若還有被攻擊紀錄，就是對方鎖定您的IP，建議更換其他的吧(或是請電信公司幫忙)。