> 135dump.exe -p ncadg_ip_udp -t 10.10.7.44

--------------------------------------------------------------------------
 1 198 EPM    10.10.7.2  10.10.7.44 4744 135  Lookup request
 2 142 UDP    10.10.7.44 10.10.7.2  1487 4744 Source port: 1487  Destination port: 4744
 3 146 UDP    10.10.7.2  10.10.7.44 4744 1487 Source port: 4744  Destination port: 1487
 4 122 DCERPC 10.10.7.44 10.10.7.2  1487 4744 Ack: seq: 0
 5 278 EPM    10.10.7.44 10.10.7.2  135  4744 Lookup response
 6 198 EPM    10.10.7.2  10.10.7.44 4744 135  Lookup request
 7 290 EPM    10.10.7.44 10.10.7.2  135  4744 Lookup response
 8 198 EPM    10.10.7.2  10.10.7.44 4744 135  Lookup request
 9 162 EPM    10.10.7.44 10.10.7.2  135  4744 Lookup response
10 122 DCERPC 10.10.7.2  10.10.7.44 4744 135  Ack: seq: 37 [req: #8]
--------------------------------------------------------------------------

Win32 API没有指定Idempotent标志位，所以有conv_who_are_you2()出现。

注意10号报文，这个Ack(7)不是每次收到Response(2)都会发出。客户端为完成某特
定任务，可能多次发送Request(0)。客户端自己知道哪次Request(0)是最后一次，当
收到对应的Response(2)之后，客户端显式发送Ack(7)，通知服务端完事了，确认响
应报文收到了，服务端应该停止响应。客户端也可以通过发送新的请求报文隐式确认
前次响应。4号是对3号的显式确认，6号是对5号的隐式确认，8号是对7号的隐式确认，
10号是对9号的显式确认。显然，只需要显式确认对应最后一次请求的响应，中间的
响应均可隐式确认，减少通信报文。

再次提醒，135/UDP上没有Bind(11)操作，接口UUID直接在V4 Request(0)的RPC头部
Interface字段指定。

通过135/UDP访问EPM没什么前途，XP SP1、2003 SP1以及某些HotFix之后都不再侦听
这个端口了。