Frage Netzwerk mit M-SEARCH-Paketen geflutet: Was bedeutet das? [geschlossen]


Ich habe gerade Wireshark auf meinem Computer in meiner Wohnung angezündet, und mir ist aufgefallen, dass ein anderer Computer im Netzwerk des Apartmentgebäudes eine Menge HTTP über UDP-Pakete aussendet (etwa 18-20 pro Sekunde ... vielleicht keine "Flut") viel) mit der Anfragelinie M-SEARCH * HTTP/1.1. Jetzt bin ich nicht der Netzwerkadministrator, und ich habe keine Kontrolle darüber, welcher Computer diese Pakete aussendet, also untersuche ich das nur aus meiner eigenen Neugier.

Hier ist die Information eines typischen Pakets von Wireshark:

--UDP--
Quellport: 50623
Zielport: ssdp (1900)
Länge: 140
--HTTP--
Anfrage Methode: M-SEARCH
Anfrage-URI: *
Anfrageversion: HTTP / 1.1
MX: 3 \ r \ n
HOST: 239.255.255.250:1900\r\n
MAN: "ssdp: entdecken" \ r \ n
ST: urn: schemas-upnp-org: Dienst: WANIPConnection: 1 \ r \ n

Ich habe etwas gegoogelt und einen Link gefunden, der darauf hindeutet könnte mit Windows Messenger verwandt sein; Der einzige Unterschied ist, dass diese Webseite sagt, dass das Suchziel sein sollte urn:schemas-upnp-org:device:InternetGatewayDevice:1 aber die Pakete, die ich sehe, haben ein Suchziel von urn:schemas-upnp-org:device:WANIPConnection:1 oder urn:schemas-upnp-org:device:WANPPPConnection:1.

Ich habe auch einen anderen Link gefunden, der darauf hinweist könnte mit dem Downadup Wurm verwandt sein, aber diese Webseite sagt, dass der Wurm Pakete mit vier verschiedenen Suchzielen aussenden sollte, nämlich die beiden, die ich sehe urn:schemas-upnp-org:device:InternetGatewayDevice:1 und upnp:rootdevice. Ich bin mir nicht sicher, ob das Fehlen der anderen zwei Suchziele anzeigt, dass dies nicht der Downadup-Wurm ist.

Und ich fand einen weiteren Link, der erwähnt etwas mit Universal Plug-and-Play zu tun aber ich weiß wirklich nicht genug über UPnP, um zu interpretieren, worüber sie auf dieser Seite sprechen.

Erkennt jemand diese Situation und kann mir sagen, was mit diesem anderen Computer passiert sein könnte?

P.S. Übrigens: Seit ich mit dem Schreiben dieser Nachricht begonnen habe, scheint der Paketstrom aufgehört zu haben.


18
2017-09-13 07:05


Ursprung




Antworten:


Dies sind UPnP-Erkennungspakete. Ihr Zweck ist es, UPnP-Geräte wie Heim-Router oder Medienserver zu entdecken. Windows Live Messenger versucht beispielsweise, den Heimrouter zu ermitteln, mit dem er verbunden ist, um einige Netzwerkports automatisch umzuleiten.

Die Rate ist jedoch ungewöhnlich. Es ist normal, viele dieser Pakete in einem großen Ethernet-Netzwerk zu empfangen, da sie normalerweise an die Broadcast-Adresse gesendet werden, aber 18 bis 20 pro Sekunde von einem Single Computer ist anomal.


13
2017-09-13 14:15



Gut zu wissen ... Ich dachte, es wäre so etwas, aber danke für die Bestätigung. Keine Spekulation über die Ursache, obwohl? (Virus / Wurm oder pseudo-normale Messenger-Aktivität?) - David Z


Nur für den Fall, dass jemand anderes die gleichen Pakete sieht. Ja, das sind UPnP-Erkennungspakete, die nach einem IP-Router suchen. Wenn UPnP in Ihrem Router aktiviert ist, kann die Software, die sie finden möchte, Port-Zuordnungen hinzufügen, Port-Zuordnungen löschen, die externe IP-Adresse abrufen (den Router IP) usw.

Grundsätzlich sucht der Code, der nach einem WANIPConnection- oder WANIPPPConnection-Diensttyp (ST: WANIPConnection / WANIPPPConnection) sucht, eingehende Verbindungen. Dies ist für P2P-Anwendungen und alle Arten von Anwendungen, die eine eingehende Verbindung erfordern, üblich. Auch Viren und Netbots machen das gleiche.

Ein NAT-Computer benötigt Port-Forwarding, um erreichbar zu sein, und das kann nur von innen getan werden.


3
2018-05-16 23:48





Ich weiß, das ist ein alter Post, aber nur um meine Forschungsergebnisse zu teilen. Ich hatte den gleichen Paketsatz auch auf meinem Drahthai eingefangen.

Ich hatte ursprünglich UPnP auf meiner Windows 7 Maschine deaktiviert, aber das half nicht. Danach habe ich diese verrauschten Pakete losgeworden, indem ich UPnP an meinem Router deaktiviert habe.


3
2018-04-16 14:12





Was zu suchen ist, dass das Protokoll SSDP ist - Das Simple Service Discovery Protocol (SSDP) ist ein auf der Internet Protocol Suite basierendes Netzwerkprotokoll zur Anzeige und Erkennung von Netzwerkdiensten und Anwesenheitsinformationen. -Wikipedia

Was jeder wissen sollte, ist die IP-Adresse jedes Geräts in seinem persönlichen Netzwerk ... also solltest du diese Art von Nachrichten in Wireshark sehen (solange sie in deinem Netzwerk bleiben, gut) und herausfinden, wie dein nieghbor zu dir gekommen ist Netzwerk, weil seine Ausrüstung versucht, Ihre Ausrüstung zu lokalisieren.


2
2017-07-19 07:32





Es tut mir leid, diesen Post zu stoßen, aber ich sehe es unbeantwortet, dieses Problem existiert immer noch unter Windows 7

Wenn Sie sowohl den SSDP-Erkennungsdienst als auch den Universal Plug & Play-Gerätehost deaktivieren, wird der gesamte SSDP-Datenverkehr nicht gestoppt. UDP-Port (User Datagram Protocol) 1900-Datenverkehr kann in Firewallprotokollen oder Paketfiltergeräteprotokollen protokolliert werden. Wenn Sie eine Ablaufverfolgung des Datenverkehrs ausführen, wird die folgende Information in dem Datenabschnitt des Pakets angezeigt:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager sendet SSDP-Pakete, es verwendet kein SSDP, sondern erstellt die SSDP-Pakete und sendet sie selbst (es ist SSDP selbst). Sie müssten dies in der Registrierung deaktivieren.

Wichtig  Dieser Abschnitt, diese Methode oder diese Aufgabe enthält Schritte, in denen Sie erfahren, wie Sie die Registrierung ändern. Wenn Sie die Registrierung jedoch falsch ändern, können schwerwiegende Probleme auftreten. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Dann können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt.

Konfigurieren Sie die Registrierung, um die Ermittlungsmeldungen zu deaktivieren, um dieses Problem zu beheben: 1. Starten Sie den Registrierungseditor (Regedt32.exe). 2. Suchen Sie und klicken Sie auf den folgenden Schlüssel in der Registrierung: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3.Auf der Bearbeiten Menü, klicken Sie auf Mehrwertund fügen Sie dann den folgenden Registrierungswert hinzu:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4.Quit Registrierungseditor.


2
2017-10-03 01:55





Ich habe gerade gestoppt und den UPnP-Dienst auf einem Windows 7-PC deaktiviert, und ich bekomme immer noch diese, so dass es nicht von UPnP auf meinem PC kommt. Ich weiß, dass dieser Beitrag alt ist, wollte aber hinzufügen, dass es nicht unbedingt UPnP ist.


1
2018-05-24 23:34