不清楚
不過我到我的查了一下(使用條件跟你差不多)
不會這樣

經過一夜折騰,問題大概釐清了,但剩下一些疑問,還沒有答案!!

1.並非 Hinet 的 Users 比較容易被攻擊!這是個人的誤解!
因為三台 PC 裡有兩台是透過分享器上線 (Atu-R 改硬撥,再 MAP 需要用到 Port)虛擬 IP,唯有 Hinet 這台 PC 是利用 XP 內建 Adsl 撥號程式上線(真實 IP)。

因為對方是連接 TCP 445 Port ˋTCP 135 Port ,而其他兩台用 SeedNetˋSo-Net 上網的 PC 因為是透過 NAT 轉址, 135ˋ445 TCP Port 都被擋掉了,所以不會發生有人連線的情形!!

將其他兩台 PC 改成用 XP Adsl 撥接上網 (真實 IP),同樣也會發生一直有人連上 445 Port 的現象!

2.如果將 XP 內建防火牆開在 Adsl 連線上,就可避免這問題,可能是防火牆在前面已經攔下了"封包"!

3.Messenger Services 有無開啟,對於 IP$ 被連線的問題完全沒有影響!
(謝謝版主提供寶貴訊息:主控台信息是透過 Messenger Services 傳送)

4.有興趣的朋友可以模擬一下環境 Try!
XP Pro (Home 沒 Try IT)ˋXP Adsl 連線,前面不要有 NAT 及 防火牆不!
觀察『電腦管理』裡的『共用資料夾』IPC$ 連線
用 Active Ports 監控 Port 連線狀態!可以發現 135ˋ445 Port 一直有莫名的 IP 連線上來!

幾點問題請教:
1.135ˋ445 TCP Port 是做什麼用途!?
我只知 135 網芳一定會用到,445 Port 完全不清楚!
我查了這兩 Port 的用途(如下)但還是不清楚他們實際用途!有朋友可以稍作解釋嗎?

135 / tcp epmap DCE endpoint resolution
445/tcp microsoft-ds Microsoft-DS

2.對方連上 IPC$ (445 Port)ˋ135 Port 代表對方已成功進入電腦嗎!?

3.連到 445 Port 的 IP 會快速異動,這是對方在掃 Port 嗎? 445 Port 有何弱點嗎?掃這 Port 有何用意?

PS:
下載 Active Ports (監控 TCPˋUDP 連線)

埠135
服務Location Service
說明Microsoft在這個埠運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和RPC的服務利用電腦上的end-point mapper註冊它們的位置。遠端客戶連接到電腦時，它們查找end-point mapper找到服務的位置。HACKER掃描電腦的這個埠是為了找到這個電腦上運行Exchange Server嗎？什麼版本？還有些DOS攻擊直接針對這個埠。

埠445
說明Common Internet File System(CIFS)（公共Internet檔系統）

說這麼多比不上一句
enable your firewall, nothing else.
其實在資安就想跟你講了
只是看你好像挺認真的
不好掃你興...

TO:u8526425
防火牆一直都有開,只不過是稍微陽春了點(XP 內建),今天晚上花了些時間搜尋 445 Port 的資料,對於 IPC$ 連線終於有了大概的了解!
非常謝謝您提供寶貴的資訊!!

############以下全文 轉自 台東縣教育局 網管教師討論區#############
文件名稱：禁止Windows 開放端口139(NetBIOS) & 445(SMB)
文件作者：Tek
登錄時間：2003-07-21 05:33:20 - BY [tek]
--------------------------------------------------------------------------------
NetBIOS 是 Win 98, NT 4, 2000, XP 等作業系統預設上自動開啟的分享服務，使用者可以經過遠端方式存取本機電腦，預設包括 IPC$, C$, Admin$ share等‧ 基本上這是一個非常方便的資源，但由於它可以遠端連線存取，我們也必須顧慮到安全上的問題(例如敏感性資料、駭客/病毒入侵等)... 大部份情況下，我們甚至根本不需要這種服務存在! 所以，我們不如把Port 139 (NetBIOS) & 445 (SMB) 關閉 (以下適用給Windows 2000, XP使用者):
這些設定修改大部份都是以Windows的Registry (C:\Windows\regedit.exe)裡完成，如果您對修改Registry 沒有把握或不瞭解，建議您先將資料backup，必免無法修復的意外發生‧

【Port 139】關閉NetBIOS

在Regedit.exe 裡，在HKEY_LOCAL_MACHINE打開:
SYSTEM\CurrentControlSet\Control\LSA
裡頭會有一個名稱叫:
RestrictAnonymous
修改它的DWORD 值為: 00000001
(效果: 匿名限制)

前往控制台 -> 系統管理工具 -> 服務:
1. 停止 TCP/IP NetBIOS Helper 服務，並修改成手動
2. 停止 NetBIOS Interface，如果您找不到這一項，您可至 DOS 停止:
net sop netbios
(效果:停止NetBIOS運作)

再開啟regedit.exe ，在HKEY_LOCAL_MACHINE展開:
SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
將名稱為AutoShareServer或AutoShareWks的DWORD值改為: 0
(效果:停止自動分享)

在系統管理工具，這一次開啟電腦管理，把所有您在共用資料夾的資源全部都移除
(效果:停止分享資源)

【Port 445】關閉SMB Session

當Port 139不存在(無回應)的時候，Windows會自己自動開啟Port 445，也就是SMB Session (Server Message Block)‧ 如果這一個端口是開啟的，那麼遠端使用者就有辦法知道您的電腦很多資訊，例如帳號清單(沒密碼)、密碼長度、密碼過期日期、系統名稱、Domain... 等等‧ 所以，建議您關閉SMB Session:

再開啟regedit.exe，在HKEY_LOCAL_MACHINE展開:
System\CurrentControlSet\Services\NetBT\Parameters
裡頭會有一個名稱叫做:TransportBindName
把這一個名稱的值清空

這樣子，Windows下一次就不會再自動開啟Port 445了‧

【完成最後動作】重新開機

最後，建議您馬上重新開機讓所有剛修改的設定生效‧ 等您重新登入Windows後，開啟DOS，輸入:

netstat -a -n

您會發現 Port 139 及445 消失了‧(Good news ^_^)

###############################################