Помогите разобраться с лог файлом
 

Win XP SP2, брендмауэр от Майкрософта ведет "журнал безопасности" с отметкой пропущеных пакетов и успешных подключений. Выдает это:

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path

2006-03-01 09:30:54 OPEN TCP 192.168.1.6 192.168.1.4 1500 445 - - - - - - - - -
2006-03-01 09:30:54 OPEN TCP 192.168.1.6 192.168.1.4 1501 139 - - - - - - - - -
2006-03-01 09:30:54 CLOSE TCP 192.168.1.6 192.168.1.4 1500 445 - - - - - - - - -
2006-03-01 09:30:55 CLOSE TCP 192.168.1.6 192.168.1.4 1474 139 - - - - - - - - -

Мой IP 192.168.1.6
1. Это он лезет на IP .4, или четверка пыталась произвести закачку файла с моего?
2. Если было подключение с открытием канала, не понимаю, почему нет цифири в size?

5-ый столбец- SRC-IP. Следовательно узел с IP 192.168.1.6 2 раза залезал на 192.168.1.4 и сначала скачал 445 б., а потом 139 б. Цифирка size - самая правая.

Arrest
По моему вы не совсем правы.
Последние 2 столбца - это порты протоколоа TCP/IP соответсвенно на dst и src компьютерах

Очевидно, была сделана попытка установления подключения и сразу же завершилась... Правда не показаны соответствующие флаги.

Вот повернул таблицу на 90град., думаю правильно.

action OPEN
src-ip 192.168.1.6
dst-ip 192.168.1.4
src-port 1500
dst-port 445
size

Этот вопрос задал не просто из любопытства. Анализируя лог увидел, что 6-ка регулярно общается с четверкой, приведенных выше фрагментов сотни, а точнее "общение" продолжалось около 2,5 часа, количество приведенных выше строк составило около 4-х тысяч за 2,5 часа. Потом наступила тишина. Подобная активность замечалась неоднократно.

Принимая за истину что src - это тот кто пытается открыть канал, а dst - тот IP, к которому обращаются, получается 192.168.1.6 (мой комп) систематически "пристает" к 192.168.1.4, при этом еще ведется перебор src-port. После серии попыток соединения в логе обнаруживается типа:

#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2006-02-28 13:38:52 DROP TCP 192.168.1.4 192.168.1.6 445 2518 40 AR 0 3885443953 0 - - - RECEIVE

Всегов сети около 10 машин, а шестерка систематически "пристает" к одной из них. Еще смущает, что перебор портов ведется машиной посылающей пакеты смысл?

Как вариант. Видно ,что это порты используемые MS для установки связи между приложениями -временные. Открыл временно порт, устанавил связь, обменялся информацией и тут же закрыл. Видимо, MS считает, что это служебная информация и считать ее нет необходимости. Тем более что никакой смысловой нагрузки она не несет. Открыли 1500 порт, потом 1501 и т.д. по нарастающей. Кому это может быть интересно?