找到一个很有意思的包，大家讨论一下

artico · 发表于 2006-8-24 15:03:30

图中标示：每次发送数据大小不一样；大约隔20秒重复发送；还是UDP数据。

我怀疑是病毒，不过不知道什么类型的？
重点我不是明白怎么解读绿色圆圈部分的内容。。。欢迎大家提供意见！

[ 本帖最后由 artico 于 2006-8-25 08:00 编辑 ]

artico · 发表于 2006-8-25 08:00:07

对不起，昨天忘记把数据包上传，，刚刚补上~~

这里还有个疑问：为什么UDP数据下带有HTTP数据呢？见绿色圆圈部分。

菜鸟人飞 · 发表于 2006-8-25 11:55:54

我认为可能的原因有：
1.人为通过发包工具循环发送这10个数据包；
2.病毒自动循环发送这10个数据包。

从UDP数据下带有HTTP的信息可知，这些数据包伪造的可能性非常大，当然，伪造者可能是人为也可能是病毒。

SSDP(Simple Service Discovery Protocol)，简单服务发现协议，它主要定义了控制点如何在网络上自动发现UPnP网络服务，以及UPnP设备如何自动向网络发布其所提供的服务信息。

fadu · 发表于 2006-8-25 14:30:28

不是很明白不过还是顶一下

artico · 发表于 2006-8-25 15:15:28

SSDP Discovery Service（SSDP 发现服务）
SSDP Discovery Service 将简单服务发现协议 (SSDP) 作为 Windows 服务实现。 SSDP Discovery Service 对设备存在公告的回执进行管理，更新它的缓存并将这些通知一起传递给搜索请求尚未完成的客户端。SSDP Discovery Service 还接受来自客户端的事件回调的注册，将它们转换成订阅请求，并监视事件通知，然后传递给已注册的回调。此系统服务还向托管设备定期提供公告。
目前，SSDP event notification 服务使用 TCP 端口 5000。在 Windows XP Service Pack 2 中，它依赖于 TCP 端口 2869。
系统服务名称 SSDPRSRV
应用程序                               协议             协议端口
SSDP                                        UDP                1900

SSDP event notification          TCP                2869

SSDP legacy event notification  TCP                5000

对上面协议不了解。。我没法再讨论下去哈。。留给大大。。

ValorZ · 发表于 2006-8-25 15:31:03

SSDP发现的过程是一个广播的过程，因为广播所以3层上只能是UDP协议。UDP的DATA内容和SSDP有关

artico · 发表于 2006-8-25 15:43:42

SSDP的RFC档是多少呢，，，