CSNA网络分析论坛»首页 流量分析 网络分析 找到一个很有意思的包,大家讨论一下
返回列表 发帖
查看: 11912|回复: 6

找到一个很有意思的包,大家讨论一下

[复制链接]
artico
发表于 2006-8-24 15:03:30 | 显示全部楼层 |阅读模式
图中标示:每次发送数据大小不一样;大约隔20秒重复发送;还是UDP数据。

我怀疑是病毒,不过不知道什么类型的?
重点我不是明白怎么解读  绿色圆圈部分的内容。。。         欢迎大家提供意见!

[ 本帖最后由 artico 于 2006-8-25 08:00 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

artico
 楼主| 发表于 2006-8-25 08:00:07 | 显示全部楼层
对不起,昨天忘记把数据包上传,,刚刚补上~~

这里还有个疑问:为什么UDP数据下带有HTTP数据呢?见绿色圆圈部分。
回复

使用道具 举报

菜鸟人飞
发表于 2006-8-25 11:55:54 | 显示全部楼层
我认为可能的原因有:
1.人为通过发包工具循环发送这10个数据包;
2.病毒自动循环发送这10个数据包。


从UDP数据下带有HTTP的信息可知,这些数据包伪造的可能性非常大,当然,伪造者可能是人为也可能是病毒。

SSDP(Simple Service Discovery Protocol),简单服务发现协议,它主要定义了控制点如何在网络上自动发现UPnP网络服务,以及UPnP设备如何自动向网络发布其所提供的服务信息。
回复

使用道具 举报

fadu
发表于 2006-8-25 14:30:28 | 显示全部楼层
不是很明白 不过还是顶一下
回复

使用道具 举报

artico
 楼主| 发表于 2006-8-25 15:15:28 | 显示全部楼层
SSDP Discovery Service(SSDP 发现服务)
SSDP Discovery Service 将简单服务发现协议 (SSDP) 作为 Windows 服务实现。 SSDP Discovery Service 对设备存在公告的回执进行管理,更新它的缓存并将这些通知一起传递给搜索请求尚未完成的客户端。SSDP Discovery Service 还接受来自客户端的事件回调的注册,将它们转换成订阅请求,并监视事件通知,然后传递给已注册的回调。此系统服务还向托管设备定期提供公告。
目前,SSDP event notification 服务使用 TCP 端口 5000。在 Windows XP Service Pack 2 中,它依赖于 TCP 端口 2869。
系统服务名称 SSDPRSRV
应用程序                                  协议                协议 端口
SSDP                                          UDP                 1900

SSDP event notification             TCP                  2869

SSDP legacy event notification  TCP                  5000


对上面协议不了解。。我没法再讨论下去哈。。留给大大。。
回复

使用道具 举报

ValorZ
发表于 2006-8-25 15:31:03 | 显示全部楼层
SSDP发现的过程是一个广播的过程,因为广播所以3层上只能是UDP协议。UDP的DATA内容和SSDP有关
回复

使用道具 举报

artico
 楼主| 发表于 2006-8-25 15:43:42 | 显示全部楼层
SSDP的RFC档是多少呢,,,
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表