當我2/11日凌晨正在做微軟更新時,我覺的我的網路好奇怪,所以我就把Tcpview231c.exe打開,結果我竟然看到有如下列的狀況,因為被嚇一跳,所以沒有把真正的記錄存下來,以下是用模擬的:
[System Process]:0 TCP 我的電腦:3016 NK210-201-75-34.cl.fx.apol.com.tw :http 等待中
alg.exe:1456 TCP 我的電腦:3001 我的電腦:0 聽候中
iexplore.exe:2540 UDP 我的電腦:3015 *:*
iexplore.exe:2540 TCP 我的電腦:3018 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3018 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3019 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3019 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3020 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3021 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3020 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3021 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3022 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3023 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3024 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3025 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3022 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3023 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3024 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3025 v4-ori.windowsupdate.microsoft.com:http 已建立連線
iexplore.exe:2540 TCP 我的電腦:3026 我的電腦:0 聽候中
iexplore.exe:2540 TCP 我的電腦:3026 wustat.windows.com:http 已建立連線
lsass.exe:676 UDP 我的電腦:isakmp *:*
svchost.exe:1076 UDP 我的電腦:3007 *:*
svchost.exe:876 TCP 我的電腦:epmap 我的電腦:0 聽候中
svchost.exe:936 TCP 我的電腦:1025 我的電腦:0 聽候中
svchost.exe:936 TCP 我的電腦:3002 我的電腦:0 聽候中
svchost.exe:936 TCP 我的電腦:3003 我的電腦:0 聽候中
svchost.exe:936 UDP 我的電腦:1645 *:*
svchost.exe:936 UDP 我的電腦:1646 *:*
svchost.exe:936 UDP 我的電腦:radius *:*
svchost.exe:936 UDP 我的電腦:radacct *:*
svchost.exe:936 UDP 我的電腦:3544 *:*
svchost.exe:936 UDP 我的電腦:ntp *:*
svchost.exe:936 UDP 我的電腦:3004 *:*
svchost.exe:936 UDP 我的電腦:3005 *:*
svchost.exe:936 UDP 我的電腦:ntp *:*
svchost.exe:936 UDP 我的電腦:router *:*
svchost.exe:936 UDP 我的電腦:3008 *:*
svchost.exe:936 UDP 我的電腦:3027 *:*
System:4 TCP 我的電腦:microsoft-ds 我的電腦:0 聽候中
System:4 TCP 我的電腦:1026 我的電腦:0 聽候中
System:4 TCP 我的電腦ptp 我的電腦:0 聽候中
System:4 TCP 我的電腦:netbios-ssn 我的電腦:0 聽候中
System:4 UDP 我的電腦:microsoft-ds *:*
System:4 UDP 我的電腦:l2tp *:*
System:4 UDP 我的電腦:netbios-ns *:*
System:4 UDP 我的電腦:netbios-dgm *:*
tcpsvcs.exe:1856 TCP 我的電腦:echo 我的電腦:0 聽候中
tcpsvcs.exe:1856 TCP 我的電腦:discard 我的電腦:0 聽候中
tcpsvcs.exe:1856 TCP 我的電腦:daytime 我的電腦:0 聽候中
tcpsvcs.exe:1856 TCP 我的電腦:qotd 我的電腦:0 聽候中
tcpsvcs.exe:1856 TCP 我的電腦:chargen 我的電腦:0 聽候中
tcpsvcs.exe:1856 UDP 我的電腦:echo *:*
tcpsvcs.exe:1856 UDP 我的電腦:discard *:*
tcpsvcs.exe:1856 UDP 我的電腦:daytime *:*
--------------------------------------------------------------------
結果我心想,怎麼會在一堆微軟的連線當中會出現一個亞太線上的IP,我只有單純在做更新而已,怎麼會有混雜一個其它位址,我心想這個應是駭客連進區網(或是在想辦法連進區網),所以我就做了以下的回應:
C:\資料夾名稱>tracert 210.201.75.34
Tracing route to NK210-201-75-34.cl.fx.apol.com.tw [210.201.75.34]
over a maximum of 30 hops:
1 1 ms 1 ms 1 ms 192.168.1.1
2 * * * Request timed out.
3 * * * Request timed out.
4 * * * Request timed out.
5 * ^C
C:\資料夾名稱>net send /?
這個命令的語法是:
NET SEND
{name | * | /DOMAIN[:name] | /USERS} message
C:\資料夾名稱>net send NK210-201-75-34.cl.fx.apol.com.tw 你
是誰?
傳送訊息到 NK210-201-75-34.CL.FX.APOL.COM.TW 的時候發生錯誤。
網路上找不到這個訊息別名。
詳細資料,請輸入 NET HELPMSG 2273。
C:\資料夾名稱>net send /DOMAIN:210.201.75.34 你是誰?
訊息已經送到 210.201.75.34 這個網域。
C:\資料夾名稱>
------------------------------------------------------------------
結果那個位址就消失不見了!!
我越想越覺得那是駭客溜進來,所以就上來問問,怎麼會有人有辦法穿過642R進來呢?
[642R的過瀘設定]
Menu 21.1 - Filter Rules Summary
# A Type Filter Rules M m n
- - ---- --------------------------------------------------------------- - - -
1 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=80 N D N
2 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=139 N D N
3 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=445 N D N
4 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=138 N D N
5 Y IP Pr=6, SA=0.0.0.0, DA=192.168.1.0, DP=21 N D N
6 Y IP Pr=0, SA=0.0.0.0, DA=192.168.1.0, DP=23 N D F
Enter Filter Rule Number (1-6) to Configure:
--------------------------------------------------------------------
Menu 11.5 - Remote Node Filter
Input Filter Sets:
protocol filters= 1
device filters=
Output Filter Sets:
protocol filters=
device filters=
Call Filter Sets:
protocol filters=
device filters=
Enter here to CONFIRM or ESC to CANCEL:
---------------------------------------------------------------------
PS、642R有設定含英數的複雜性密碼。
書籤