當我2/11日凌晨正在做微軟更新時，我覺的我的網路好奇怪，所以我就把Tcpview231c.exe打開，結果我竟然看到有如下列的狀況，因為被嚇一跳，所以沒有把真正的記錄存下來，以下是用模擬的：
[System Process]:0 TCP 我的電腦:3016 NK210-201-75-34.cl.fx.apol.com.tw :http 等待中
alg.exe:1456 TCP 我的電腦:3001 我的電腦:0 聽候中
iexplore.exe:2540 UDP 我的電腦:3015 *:*
iexplore.exe:2540 TCP 我的電腦:3018 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3018 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3019 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3019 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3020 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3021 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3020 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3021 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3022 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3023 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3024 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3025 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3022 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3023 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3024 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3025 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3026 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3026 wustat.windows.com:http 已建立連線
lsass.exe:676 UDP 我的電腦:isakmp *:*
svchost.exe:1076 UDP 我的電腦:3007 *:*
svchost.exe:876 TCP 我的電腦:epmap 我的電腦:0 聽候中
svchost.exe:936 TCP 我的電腦:1025 我的電腦:0 聽候中
svchost.exe:936 TCP 我的電腦:3002 我的電腦:0 聽候中
svchost.exe:936 TCP 我的電腦:3003 我的電腦:0 聽候中
svchost.exe:936 UDP 我的電腦:1645 *:*
svchost.exe:936 UDP 我的電腦:1646 *:*
svchost.exe:936 UDP 我的電腦:radius *:*
svchost.exe:936 UDP 我的電腦:radacct *:*
svchost.exe:936 UDP 我的電腦:3544 *:*
svchost.exe:936 UDP 我的電腦:ntp *:*
svchost.exe:936 UDP 我的電腦:3004 *:*
svchost.exe:936 UDP 我的電腦:3005 *:*
svchost.exe:936 UDP 我的電腦:ntp *:*
svchost.exe:936 UDP 我的電腦:router *:*
svchost.exe:936 UDP 我的電腦:3008 *:*
svchost.exe:936 UDP 我的電腦:3027 *:*
System:4 TCP 我的電腦:microsoft-ds 我的電腦:0 聽候中
System:4 TCP 我的電腦:1026 我的電腦:0 聽候中
System:4 TCP 我的電腦:pptp 我的電腦:0 聽候中
System:4 TCP 我的電腦:netbios-ssn 我的電腦:0 聽候中
System:4 UDP 我的電腦:microsoft-ds *:*
System:4 UDP 我的電腦:l2tp *:*
System:4 UDP 我的電腦:netbios-ns *:*
System:4 UDP 我的電腦:netbios-dgm *:*
tcpsvcs.exe:1856 TCP 我的電腦:echo 我的電腦:0 聽候中
tcpsvcs.exe:1856 TCP 我的電腦:discard 我的電腦:0 聽候中
tcpsvcs.exe:1856 TCP 我的電腦:daytime 我的電腦:0 聽候中
tcpsvcs.exe:1856 TCP 我的電腦:qotd 我的電腦:0 聽候中
tcpsvcs.exe:1856 TCP 我的電腦:chargen 我的電腦:0 聽候中
tcpsvcs.exe:1856 UDP 我的電腦:echo *:*
tcpsvcs.exe:1856 UDP 我的電腦:discard *:*
tcpsvcs.exe:1856 UDP 我的電腦:daytime *:*
--------------------------------------------------------------------
結果我心想，怎麼會在一堆微軟的連線當中會出現一個亞太線上的IP，我只有單純在做更新而已，怎麼會有混雜一個其它位址，我心想這個應是駭客連進區網(或是在想辦法連進區網)，所以我就做了以下的回應：
C:\資料夾名稱>tracert 210.201.75.34

Tracing route to NK210-201-75-34.cl.fx.apol.com.tw [210.201.75.34]
over a maximum of 30 hops:

1 1 ms 1 ms 1 ms 192.168.1.1
2 * * * Request timed out.
3 * * * Request timed out.
4 * * * Request timed out.
5 * ^C
C:\資料夾名稱>net send /?
這個命令的語法是:


NET SEND
{name | * | /DOMAIN[:name] | /USERS} message



C:\資料夾名稱>net send NK210-201-75-34.cl.fx.apol.com.tw 你
是誰?
傳送訊息到 NK210-201-75-34.CL.FX.APOL.COM.TW 的時候發生錯誤。

網路上找不到這個訊息別名。

詳細資料，請輸入 NET HELPMSG 2273。


C:\資料夾名稱>net send /DOMAIN:210.201.75.34 你是誰?
訊息已經送到 210.201.75.34 這個網域。


C:\資料夾名稱>

------------------------------------------------------------------
結果那個位址就消失不見了!!
我越想越覺得那是駭客溜進來，所以就上來問問，怎麼會有人有辦法穿過642R進來呢?
[642R的過瀘設定]
Menu 21.1 - Filter Rules Summary

# A Type Filter Rules M m n
- - ---- --------------------------------------------------------------- - - -
1 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=80 N D N
2 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=139 N D N
3 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=445 N D N
4 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=138 N D N
5 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=21 N D N
6 Y IP Pr=0, SA=0.0.0.0, DA=192.168.1.0, DP=23 N D F








Enter Filter Rule Number (1-6) to Configure:
--------------------------------------------------------------------
Menu 11.5 - Remote Node Filter

Input Filter Sets:
protocol filters= 1
device filters=
Output Filter Sets:
protocol filters=
device filters=
Call Filter Sets:
protocol filters=
device filters=







Enter here to CONFIRM or ESC to CANCEL:
---------------------------------------------------------------------
ＰＳ、642R有設定含英數的複雜性密碼。

贊助商連結

資訊不是很詳細
我只能從公佈資訊中加以推理判斷啦,如下:
System Process]:0 TCP 我的電腦:3016 NK210-201-75-34.cl.fx.apol.com.tw :http 等待中
你的電腦使用port:3016來連接HTTP service
這個看起來是你的電腦使用port:3016來連接一個web server而server位在NK210-201-75-34.cl.fx.apol.com.tw
你可以看到其他session使用了接下來的port:3017,3018....
所以在這裡可以看出你的電腦腳色是一個client
而且它的HTTP session 正處於waiting狀態
也就是說HTTP session運作到一半啦
若是駭客連接的話
你的電腦應該屬於server端才對
也就是說你顯示出的資料port:3016應該是listening而不是waiting
(如這個>>>tcpsvcs.exe:1856 TCP 我的電腦:echo 我的電腦:0 聽候中)
再者
System Process]:0 TCP 我的電腦:3016 NK210-201-75-34.cl.fx.apol.com.tw :http 等待中
其system process:0使用0應該是系統本身而不會是一般的service(e.g. HTTP)會用到的
從這也可以看出是系統自己發出這個HTTP request而非被其他人(hacker)啟發的
看到這邊你應該安心點才對吧
你的什麼642r(JC蝦密咚咚??)沒被性侵過啦

聽到你的說明，讓我放心了一大半(目前還是有點懷疑為什麼上微軟更新會有亞太線上的連線)，由你的說明可以得知，我的642R並沒有受到正面攻擊，這讓我對642r放心不少，少了正面攻擊，剩下的被駭的機會應該不多，防毒軟體還不會太爛，也有在使用ad-aware掃描，可以放心了。