SSDP与5431端口

yalolo

最近发现电脑的本地连接灯一直亮着,查状态发现不停有流量进出.第一反应是中了木马,赶紧netstat -o 查,发现只有一条到网关5431端口的established的连接,5431...从来没有听说过嘿,难道linksys的ap中病毒了.....马上放狗查了下5431端口,只有一个注册过的服务,park-agent但是完全找不到说明和解释,晕.然后准备看看本地连接属性,发现多了一个internet网关类的internet连接,马上禁用,继续放狗....这时发现internet突然断了,以为是adsl又断线,于是重启了下ap,恩,拨上了,但是那个internet连接又被启用了...靠啊,再次禁用掉之后internet又断开了,这是我开始怀疑这个internet连接是和linksys的ap有联系的,这个5431端口的服务很可能是pc与router的通讯桥梁.仔细google了下linksys和5431端口相关的网页,在一个不起眼的角落终于有个英文帖子描述了和我一样的情况,这个帖子最后作者猜测是upnp在起作用.
upnp这个概念以前只有在bt和emule时候简单接触过,是自动发现网络设备以及自动映射端口(在我以前的认识中)的一个服务,在windows中有两个服务,一个是universal plug and play device host ,这个服务开启后使其他机器可以自动发现这台机器,另一个是SSDP Discover Service,这个服务的功能就是搜寻并使用其他开启upnp功能的设备上的服务.ssdp使用基于http的协议HTTPU和HTTPMU在设备间传送讯息,
而在linksys的ap上,存在着一个xml文件,该文件指出了作为桥梁的端口-5431,并指出了ap上存在的服务,在试验中,我发现连接到ap的http管理界面时网络连接中也不会出现到80端口的连接,这是由于ssdp使用了SOAP：即简单对象访问协议，实际就是通过该协议传递控制消息并返回设备对消息的响应结果。它利用XML和HTTP进行远程调用。这使防火墙或别的网络安全措施不会影响SOAP的使用,对ap http的访问就被封装在5431端口中进行了.
目前就发现这些,更进一步试验下次再进行

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/9445/showart_114201.html