求大神帮忙看下防火墙日志。

Snow5211

时间:         02/19/2016 12:44:30 PM
事件:  流量
IP 地址:  127.0.0.1
描述:  HOST PROCESS FOR WINDOWS SERVICES
路径:  C:\WINDOWS\SYSTEM32\SVCHOST.EXE
消息:      阻止 入站 UDP  -  源  127.0.0.1 :  (62875)   目标  239.255.255.250 :  (3702)
匹配的规则:  禁止连入本机3389端口时间:         02/19/2016 12:44:33 PM
事件:  流量
IP 地址:  0000:0000:0000:0000:0000:0000:0000:0001
描述:  HOST PROCESS FOR WINDOWS SERVICES
路径:  C:\WINDOWS\SYSTEM32\SVCHOST.EXE
消息:      阻止 入站 UDP  -  源  0000:0000:0000:0000:0000:0000:0000:0001 :  (65382)   目标  ff02:0000:0000:0000:0000:0000:0000:000c :  (1900)
匹配的规则:  禁止连入本机3389端口

时间:         02/19/2016 12:44:33 PM
事件:  流量
IP 地址:  192.168.99.1
描述:  HOST PROCESS FOR WINDOWS SERVICES
路径:  C:\WINDOWS\SYSTEM32\SVCHOST.EXE
消息:      阻止 入站 UDP  -  源  192.168.99.1 :  (1900)   目标  192.168.99.64 :  (65383)
匹配的规则:  禁止连入本机3389端口

时间:         02/19/2016 12:44:36 PM
事件:  流量
IP 地址:  0000:0000:0000:0000:0000:0000:0000:0001
描述:  HOST PROCESS FOR WINDOWS SERVICES
路径:  C:\WINDOWS\SYSTEM32\SVCHOST.EXE
消息:      阻止 入站 UDP  -  源  0000:0000:0000:0000:0000:0000:0000:0001 :  (65382)   目标  ff02:0000:0000:0000:0000:0000:0000:000c :  (1900)
匹配的规则:  禁止连入本机3389端口

时间:         02/19/2016 12:44:36 PM
事件:  流量
IP 地址:  0000:0000:0000:0000:0000:0000:0000:0001
描述:  HOST PROCESS FOR WINDOWS SERVICES
路径:  C:\WINDOWS\SYSTEM32\SVCHOST.EXE
消息:      阻止 入站 UDP  -  源  0000:0000:0000:0000:0000:0000:0000:0001 :  (65382)   目标  ff02:0000:0000:0000:0000:0000:0000:000c :  (1900)
匹配的规则:  禁止连入本机3389端口

时间:         02/19/2016 12:44:36 PM
事件:  流量
IP 地址:  192.168.99.1
描述:  HOST PROCESS FOR WINDOWS SERVICES
路径:  C:\WINDOWS\SYSTEM32\SVCHOST.EXE
消息:      阻止 入站 UDP  -  源  192.168.99.1 :  (1900)   目标  192.168.99.64 :  (65383)
匹配的规则:  禁止连入本机3389端口

时间:         02/19/2016 12:44:49 PM
事件:  流量
IP 地址:  192.168.99.1
描述:  HOST PROCESS FOR WINDOWS SERVICES
路径:  C:\WINDOWS\SYSTEM32\SVCHOST.EXE
消息:      阻止 入站 UDP  -  源  192.168.99.1 :  (33739)   目标  239.255.255.250 :  (1900)
匹配的规则:  禁止连入本机3389端口


时间:         02/19/2016 12:46:50 PM
事件:  流量
IP 地址:  192.168.99.1
描述:  HOST PROCESS FOR WINDOWS SERVICES
路径:  C:\WINDOWS\SYSTEM32\SVCHOST.EXE
消息:      阻止 入站 UDP  -  源  192.168.99.1 :  (33739)   目标  239.255.255.250 :  (1900)
匹配的规则:  禁止连入本机3389端口
=====================================================================
win10系统       MES10.1
防火墙 我阻止了   23 端口 和3389 口 的入站 链接 选择的所有协议后 就一直发警报。
192.168.99.1 是我路由器 网关 。
是我写的规则不对，还是 别的原因呢。。。我只是下阻止 远程对我电脑的任何操作。。。。求大神告知如何 解决。。谢谢

Snow5211

通过 192.168.99.1 的访问违反了规则 禁止连入本机3389端口 并且阻止。
分析器/检测程序
产品名称        McAfee Endpoint Security
分析器规则 ID        454c94dc-fad9-4836-9555-f86a535fb782
分析器规则名称        禁止连入本机3389端口
分析器技术版本        10.1.0.685
产品版本        10.1.0
McAfee GTI 查询        否
功能名称        防火墙
 
威胁
已采取针对威胁的操作        阻止
威胁类别        检测到入侵
威胁事件 ID        35001
威胁名称        禁止连入本机3389端口
威胁严重性        警报
威胁时间戳        2016年2月19日 下午12:50
威胁类型        入侵
 
源
源文件大小        0
源 IPV4        192.168.99.1
源 MAC        207693251038
源父级进程已签名        否
源端口        33739
源已签名        否
 
目标
目标访问时间        2015年10月30日 下午3:17
目标创建时间        2015年10月30日 下午3:17
目标说明        HOST PROCESS FOR WINDOWS SERVICES
目标设备显示名称        WDC WD3200AAJS-00L7A0 ATA Device
目标设备 PID        PCIIDE\IDEChannel\4&325ff04d&0&0
目标设备序列号        PCIIDE\IDEChannel\4&325ff04d&0&0
目标设备 VID        PCIIDE\IDEChannel\4&325ff04d&0&0
目标文件大小(字节)        53248
目标哈希        8497852ED44AFF902D502015792D315D
目标 IPV4        239.255.255.250
目标 MAC        01005E7FFFFA
目标修改时间        2015年10月30日 下午3:17
目标父级进程哈希        6FF8248F3A9D69A095C7F3F42BC29CB2
目标父级进程名        services.exe
目标父级进程已签名        是
目标父级进程签名者        C=US, S=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Publisher
目标路径        C:\WINDOWS\SYSTEM32\SVCHOST.EXE
目标端口        1900
目标进程名        SVCHOST.EXE
目标协议        UDP
目标已签名        是
目标签名者        C=US, S=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Publisher
目标用户名        NT AUTHORITY\LOCAL SERVICE
 
其他
媒介类型        网络
方向        入站
检测前的持续时间(天)        111
自然语言说明        通过 192.168.99.1 的访问违反了规则 禁止连入本机3389端口 并且阻止。
ICMP 类型        0
合并事件计数        11

清道夫900

都是内部的通信，3702和1900都是共享连接，3389那个端口规则你是怎么写出来的？

23 udp应该是时间同步。

ly910326

防火墙阻挡了3389  好像不喜欢超级远程用户连接。

win10 左下角小方块 文件资源管理器
此电脑 右键  属性 远程设置
选择远程  远程协助  远程桌面    选择好后 应用  确定。

可以关闭掉 3389端口。

Snow5211

ly910326 发表于 2016-2-19 13:43
防火墙阻挡了3389  好像不喜欢超级远程用户连接。

win10 左下角小方块 文件资源管理器

关闭本机也没有用的， 防火墙规则 ，我写的是23和3389禁止 入站链接，随后就报警 提示路由器 不断的链接 3389端口。。   防火墙把 3389端口打开， 路由 又会继续 访问23端口。。。
我是新手，，我不明白 是我写的规则不对，，还是有人利用路由器  访问我电脑。。

Snow5211

清道夫900 发表于 2016-2-19 13:29
都是内部的通信，3702和1900都是共享连接，3389那个端口规则你是怎么写出来的？

23 udp应该是时间同步。

我新手一枚，我看日志就是 路由器 不停的访问我 3389。。。 防火墙吧3389放行， 路由 就接着访问 23端口。
至于我规则怎么写的，，我觉得不是写，除了名称 全是选项。。
名称 ：禁止连入本机3389端口
指定操作：阻止
将匹配视为入侵
方向：入站
网络协议： 任何协议
连接类型： 有线 无线 虚拟
传输协议：全部

柯林

Snow5211 发表于 2016-2-19 14:33
我新手一枚，我看日志就是 路由器 不停的访问我 3389。。。 防火墙吧3389放行， 路由 就接着访问 23端口 ...

这个是个人版？
3389是TCP端口，没必要任何协议

在乎入侵防御，最简单的方法，组策略里面，用户权利指派，禁止Everyone从网络访问本机，即可
至于远控软件，比如QQ之流的远控帮助，防火墙再怎么写禁止3389端口也没用

Snow5211

柯林 发表于 2016-2-19 21:29
这个是个人版？
3389是TCP端口，没必要任何协议

我这是 McAfee Endpoint Security 10.1
大神救我，我可以不用QQ。。如何防止 局域网 或者 远程 入侵我桌面，不想让别人看到我在干什么。。
大神 教教我把。。。。
win10系统 。

柯林

Snow5211 发表于 2016-2-20 15:01
我这是 McAfee Endpoint Security 10.1
大神救我，我可以不用QQ。。如何防止 局域网 或者 远程 入侵我 ...

一般不会被入侵，设置与不设置都区别不大，中了马就难说
至于上了网，想要躲过网络监控，没那么容易，具体去看黑客技能及斯诺登揭秘之类，对这些东东不了解，帮不了