Mỗi bản ghi trong logfile của Firewall có nhiều trường dữ liệu khác nhau. Dựa trên tiêu chí để xác định tấn công từ chối dịch vụ, cần quan tâm đến các trường dữ liệu sau đây:
- Client IP and Port: trường này chứa thông tin về địa chỉ IP và cổng kết nối của máy trạm. Địa chỉ IP có thể được dùng để đại diện cho máy trạm. Do cổng kết nối của máy trạm được sử dụng ngẫu nhiên trong mỗi kết nối nên không có giá trị trong việc xác định tấn công từ chối dịch vụ. Vì vậy chỉ cần quan tâm đến thông tin địa chỉ IP máy trạm.
- Destination IP and Port: trường này chứa thông tin về địa chỉ IP và cổng kết nối của máy đích. Địa chỉ IP và cổng dịch vụ có thể được dùng để đại diện cho một lớp máy đích. Lưu ý là cùng một địa chỉ
IP máy đích nhưng cổng dịch vụ khác nhau thì sẽ có hai lớp máy đích khác nhau.
- Action: trường này chứa thông tin về hành động mà Firewall đã thực thi. Đối với môi trường thực nghiệm này, chỉ cần quan tâm đến những kết nối được Firewall “cho phép”.
- Protocol: trường này chứa thông tin về giao thức của kết nối. các Giao thức của các kết nối có thể là TCP, UDP, NetBios Name Service,… Chỉ cần quan tâm đến những kết nối có giao thức chính là giao thức được sử dụng bởi dịch vụ mà máy đích đang chạy. Do đó, trường này được sử dụng làm điều kiện lọc ra các bản ghi không cần thiết.
Hai trường dữ liệu cần thiết là Client IP and Port và Destination IP and Port sẽ được sử dụng trực tiếp để xác định dấu hiệu tấn công từ chối dịch vụ. Hai trường dữ liệu Action, Protocol được dùng để xác định các bản ghi dữ liệu log có chứa dữ liệu cần thiết (Client IP and Port, Destination IP and Port).