到底什么是RPC服务,DCOM攻击和它有关吗?

Okan

我机子一般情况下只会受到两类攻击:
win.messenger 和 win.MSQQL.worm

前天上了一个奇怪的网站,然后硬盘狂响了一阵,KIS没反应. 然后重启,入侵检测立即报告intrusion.win.DCOM.exploit攻击.

是在tcp 的135 端口.

这里我想问一下, 很多文章说, 135是RPC服务的端口,根本就不能关闭,最多只能用防火墙过滤一下子.

我135端口的local address 一般情况下都是0.0.0.0; 可是受到攻击那次变成了本机的IP地址(64.133.xx.xxx).

更奇怪的是,攻击源竟然是同一IP段的主机(加拿大shaw cable的IP,我的ISP)

有2个问题问一下:
     1,常常能看到进程的local address 是0.0.0.0 , 127.0.0.1 , 64.133.xx.xxx  , 这三种IP分别表示什么意思呢?

     2,为什么UDP的设置规则里有"入/出站流"和"入/出站"两种,而TCP却只有"入/出站流"????"流"是什么呀?

[ 本帖最后由 Okan 于 2006-11-10 15:47 编辑 ]

Oceanzd

RPC服务就是“远程协助”，知道是什么了吧。

DCOM攻击就是利用RPC漏洞进行攻击的。

1. 0.0.0.0不是一个真正的IP了，这里集结了所有不清楚的主机和目的网络。
    127.0.0.1就是“本机地址”的意思，是“Localhost”，它是不能发到网络接口的。
    64.133.x.x 真不知道，帮你google一下。（是你自己机的IP？）

2. 流 (Stream) 是一种在网上传送视频、动画、网页和声音比较有效的方法。沒有流，我們必须在整段视频下载完成后，才能开始播放。由于视频文件非常大，我们要等一段很长的时间才能完成下载。流缩短了起始的等待时间，它不需要等待所有数据下载完成就可以开始播放，而在我們观看视频的同时，剩下的数据会跟着下载。

是“入/出站包”，不是“入/出站”，UDP是数据包传送，当然会有了。

[ 本帖最后由 jzhhh 于 2006-11-11 07:52 编辑 ]

tracydk

不懂啊

东海林将司

看得不是很明白 ，不过能理解

eubyo

本来使用kis隐身了绝大部分攻击是不会受到的，但访问某些网站是会受到攻击的，因为暴露了ip，用bt，qq也会暴露ip