我正在使用 Nmap 和 OpenVAS 扫描我的 Windows 8 机器(从 LAN 上的另一台机器和 WAN 上的另一台机器),并且在事件查看器中寻找此类事件发生的日志,但没有任何关于任何人扫描我的信息。
如何在 Windows 中查找日志以排除某人可能以未经授权的方式扫描我的机器(或网络)。
答案1
你需要的是入侵侦测系统例如呼噜入侵检测系统通常在后台运行,或者在网络上策略性放置的单独机器上运行(通常在企业网络中的 SPAN 端口上,但并非绝对必要),以便它们可以监控所有进出的流量,并根据预定义的规则动态检查它(您,管理员,可以这样做...不用担心,有很多示例可以执行基本操作!)。然后,根据您配置的选项以及您选择的特定 IDS 软件,它将执行以下一项或多项操作:
- 将数据包记录到文件中,通常还带有时间戳以及标记该数据包的规则
- 阻止/丢弃/屏蔽数据包(这实际上更多的是入侵防御系统的范围,但有时界限会变得模糊)
- 将文件通过单独的过滤器传输,例如 fail2ban 这样的系统,它根据匹配某些活动来禁止用户的 IP 地址。
答案2
很抱歉,我回答了自己的问题(我想这没问题,因为有一个选项可以回答)。
我用了Wireshark在 Windows 上实现此目的。我在 Google 上搜索后发现无法获取用于此目的的日志。
因此,对于任何感兴趣的人,请获取 Wireshark 并开始扫描,您可以在捕获日志中看到它。但我认为,对于面向公众的服务(如 Windows 服务器),必须让 Wireshark 全天候运行。我不知道还有什么更好的选择,但这对我的目的来说已经足够了。