【求助】有無可能穿過642r,從Internet連接到我的電腦?要如何防止?

顯示結果從第 1 筆 到 3 筆,共計 3 筆
  1. #1
    會員
    註冊日期
    2002-06-18
    所在地區
    ADSL 8M/640K
    討論區文章
    592

    【求助】有無可能穿過642r,從Internet連接到我的電腦?要如何防止?

    當我2/11日凌晨正在做微軟更新時,我覺的我的網路好奇怪,所以我就把Tcpview231c.exe打開,結果我竟然看到有如下列的狀況,因為被嚇一跳,所以沒有把真正的記錄存下來,以下是用模擬的:
    [System Process]:0 TCP 我的電腦:3016 NK210-201-75-34.cl.fx.apol.com.tw :http 等待中
    alg.exe:1456 TCP 我的電腦:3001 我的電腦:0 聽候中
    iexplore.exe:2540 UDP 我的電腦:3015 *:*
    iexplore.exe:2540 TCP 我的電腦:3018 我的電腦:0 聽候中
    iexplore.exe:2540 TCP 我的電腦:3018 v4-ori.windowsupdate.microsoft.com:http 已建立連線
    iexplore.exe:2540 TCP 我的電腦:3019 我的電腦:0 聽候中
    iexplore.exe:2540 TCP 我的電腦:3019 v4-ori.windowsupdate.microsoft.com:http 已建立連線
    iexplore.exe:2540 TCP 我的電腦:3020 我的電腦:0 聽候中
    iexplore.exe:2540 TCP 我的電腦:3021 我的電腦:0 聽候中
    iexplore.exe:2540 TCP 我的電腦:3020 v4-ori.windowsupdate.microsoft.com:http 已建立連線
    iexplore.exe:2540 TCP 我的電腦:3021 v4-ori.windowsupdate.microsoft.com:http 已建立連線
    iexplore.exe:2540 TCP 我的電腦:3022 我的電腦:0 聽候中
    iexplore.exe:2540 TCP 我的電腦:3023 我的電腦:0 聽候中
    iexplore.exe:2540 TCP 我的電腦:3024 我的電腦:0 聽候中
    iexplore.exe:2540 TCP 我的電腦:3025 我的電腦:0 聽候中
    iexplore.exe:2540 TCP 我的電腦:3022 v4-ori.windowsupdate.microsoft.com:http 已建立連線
    iexplore.exe:2540 TCP 我的電腦:3023 v4-ori.windowsupdate.microsoft.com:http 已建立連線
    iexplore.exe:2540 TCP 我的電腦:3024 v4-ori.windowsupdate.microsoft.com:http 已建立連線
    iexplore.exe:2540 TCP 我的電腦:3025 v4-ori.windowsupdate.microsoft.com:http 已建立連線
    iexplore.exe:2540 TCP 我的電腦:3026 我的電腦:0 聽候中
    iexplore.exe:2540 TCP 我的電腦:3026 wustat.windows.com:http 已建立連線
    lsass.exe:676 UDP 我的電腦:isakmp *:*
    svchost.exe:1076 UDP 我的電腦:3007 *:*
    svchost.exe:876 TCP 我的電腦:epmap 我的電腦:0 聽候中
    svchost.exe:936 TCP 我的電腦:1025 我的電腦:0 聽候中
    svchost.exe:936 TCP 我的電腦:3002 我的電腦:0 聽候中
    svchost.exe:936 TCP 我的電腦:3003 我的電腦:0 聽候中
    svchost.exe:936 UDP 我的電腦:1645 *:*
    svchost.exe:936 UDP 我的電腦:1646 *:*
    svchost.exe:936 UDP 我的電腦:radius *:*
    svchost.exe:936 UDP 我的電腦:radacct *:*
    svchost.exe:936 UDP 我的電腦:3544 *:*
    svchost.exe:936 UDP 我的電腦:ntp *:*
    svchost.exe:936 UDP 我的電腦:3004 *:*
    svchost.exe:936 UDP 我的電腦:3005 *:*
    svchost.exe:936 UDP 我的電腦:ntp *:*
    svchost.exe:936 UDP 我的電腦:router *:*
    svchost.exe:936 UDP 我的電腦:3008 *:*
    svchost.exe:936 UDP 我的電腦:3027 *:*
    System:4 TCP 我的電腦:microsoft-ds 我的電腦:0 聽候中
    System:4 TCP 我的電腦:1026 我的電腦:0 聽候中
    System:4 TCP 我的電腦ptp 我的電腦:0 聽候中
    System:4 TCP 我的電腦:netbios-ssn 我的電腦:0 聽候中
    System:4 UDP 我的電腦:microsoft-ds *:*
    System:4 UDP 我的電腦:l2tp *:*
    System:4 UDP 我的電腦:netbios-ns *:*
    System:4 UDP 我的電腦:netbios-dgm *:*
    tcpsvcs.exe:1856 TCP 我的電腦:echo 我的電腦:0 聽候中
    tcpsvcs.exe:1856 TCP 我的電腦:discard 我的電腦:0 聽候中
    tcpsvcs.exe:1856 TCP 我的電腦:daytime 我的電腦:0 聽候中
    tcpsvcs.exe:1856 TCP 我的電腦:qotd 我的電腦:0 聽候中
    tcpsvcs.exe:1856 TCP 我的電腦:chargen 我的電腦:0 聽候中
    tcpsvcs.exe:1856 UDP 我的電腦:echo *:*
    tcpsvcs.exe:1856 UDP 我的電腦:discard *:*
    tcpsvcs.exe:1856 UDP 我的電腦:daytime *:*
    --------------------------------------------------------------------
    結果我心想,怎麼會在一堆微軟的連線當中會出現一個亞太線上的IP,我只有單純在做更新而已,怎麼會有混雜一個其它位址,我心想這個應是駭客連進區網(或是在想辦法連進區網),所以我就做了以下的回應:
    C:\資料夾名稱>tracert 210.201.75.34

    Tracing route to NK210-201-75-34.cl.fx.apol.com.tw [210.201.75.34]
    over a maximum of 30 hops:

    1 1 ms 1 ms 1 ms 192.168.1.1
    2 * * * Request timed out.
    3 * * * Request timed out.
    4 * * * Request timed out.
    5 * ^C
    C:\資料夾名稱>net send /?
    這個命令的語法是:


    NET SEND
    {name | * | /DOMAIN[:name] | /USERS} message



    C:\資料夾名稱>net send NK210-201-75-34.cl.fx.apol.com.tw 你
    是誰?
    傳送訊息到 NK210-201-75-34.CL.FX.APOL.COM.TW 的時候發生錯誤。

    網路上找不到這個訊息別名。

    詳細資料,請輸入 NET HELPMSG 2273。


    C:\資料夾名稱>net send /DOMAIN:210.201.75.34 你是誰?
    訊息已經送到 210.201.75.34 這個網域。


    C:\資料夾名稱>

    ------------------------------------------------------------------
    結果那個位址就消失不見了!!
    我越想越覺得那是駭客溜進來,所以就上來問問,怎麼會有人有辦法穿過642R進來呢?
    [642R的過瀘設定]
    Menu 21.1 - Filter Rules Summary

    # A Type Filter Rules M m n
    - - ---- --------------------------------------------------------------- - - -
    1 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=80 N D N
    2 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=139 N D N
    3 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=445 N D N
    4 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=138 N D N
    5 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=21 N D N
    6 Y IP Pr=0, SA=0.0.0.0, DA=192.168.1.0, DP=23 N D F








    Enter Filter Rule Number (1-6) to Configure:
    --------------------------------------------------------------------
    Menu 11.5 - Remote Node Filter

    Input Filter Sets:
    protocol filters= 1
    device filters=
    Output Filter Sets:
    protocol filters=
    device filters=
    Call Filter Sets:
    protocol filters=
    device filters=







    Enter here to CONFIRM or ESC to CANCEL:
    ---------------------------------------------------------------------
    PS、642R有設定含英數的複雜性密碼。


    這是我的部落格闇夜之息的部落格,只是我很少po文章上去(想到時才會發一篇上去 ),有興趣的人可以去看看(用google內鍵的)。

  2. #2
    低等會員
    註冊日期
    2002-11-29
    討論區文章
    483
    資訊不是很詳細
    我只能從公佈資訊中加以推理判斷啦,如下:
    System Process]:0 TCP 我的電腦:3016 NK210-201-75-34.cl.fx.apol.com.tw :http 等待中
    你的電腦使用port:3016來連接HTTP service
    這個看起來是你的電腦使用port:3016來連接一個web server而server位在NK210-201-75-34.cl.fx.apol.com.tw
    你可以看到其他session使用了接下來的port:3017,3018....
    所以在這裡可以看出你的電腦腳色是一個client
    而且它的HTTP session 正處於waiting狀態
    也就是說HTTP session運作到一半啦
    若是駭客連接的話
    你的電腦應該屬於server端才對
    也就是說你顯示出的資料port:3016應該是listening而不是waiting
    (如這個>>>tcpsvcs.exe:1856 TCP 我的電腦:echo 我的電腦:0 聽候中)
    再者
    System Process]:0 TCP 我的電腦:3016 NK210-201-75-34.cl.fx.apol.com.tw :http 等待中
    其system process:0使用0應該是系統本身而不會是一般的service(e.g. HTTP)會用到的
    從這也可以看出是系統自己發出這個HTTP request而非被其他人(hacker)啟發的
    看到這邊你應該安心點才對吧
    你的什麼642r(JC蝦密咚咚??)沒被性侵過啦

  3. #3
    會員
    註冊日期
    2002-06-18
    所在地區
    ADSL 8M/640K
    討論區文章
    592
    聽到你的說明,讓我放心了一大半(目前還是有點懷疑為什麼上微軟更新會有亞太線上的連線),由你的說明可以得知,我的642R並沒有受到正面攻擊,這讓我對642r放心不少,少了正面攻擊,剩下的被駭的機會應該不多,防毒軟體還不會太爛,也有在使用ad-aware掃描,可以放心了。
    這是我的部落格闇夜之息的部落格,只是我很少po文章上去(想到時才會發一篇上去 ),有興趣的人可以去看看(用google內鍵的)。

類似的主題

  1. 【求助】如何防止電腦被置入 .DLL 檔案 ?
    作者:tw2005 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 5
    最後發表: 2005-10-01, 06:50 PM
  2. [詢問]有無可以監看所有連接在HUB上電腦的流量
    作者:freesoul 所在討論版:-- 網 路 軟 體 討 論 二 版 (網路其他軟體)
    回覆: 1
    最後發表: 2005-03-30, 11:19 AM
  3. 【求助】Windows 要如何連接到MAC ??
    作者:Nion 所在討論版:-- Windows 討 論 版
    回覆: 4
    最後發表: 2002-12-04, 10:52 AM
  4. 請問要如何做到遠端(透過internet或modem或...)啟動電腦【求助】
    作者:accacc 所在討論版:-- 網 路 硬 體 版
    回覆: 3
    最後發表: 2002-09-23, 02:05 PM
  5. 【求助】請問如何透過PCAnyWhere 連接SENAO 2511SR plus 內部的電腦
    作者:davislee 所在討論版:-- 無 線 網 路 版
    回覆: 1
    最後發表: 2002-08-22, 09:35 PM

 

此網頁沒有從搜尋引擎而來的訪客

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •