Sieć zalana pakietami M-SEARCH: co to znaczy? [Zamknięte]

Właśnie uruchomiłem Wireshark na moim komputerze w swoim mieszkaniu i zauważyłem, że inny komputer w sieci apartamentowca wysyła dużo HTTP przez pakiety UDP (około 18-20 na sekundę ... może nie „powódź”, ale dużo) z wierszem zapytania M-SEARCH * HTTP/1.1. Teraz nie jestem administratorem sieci i nie mam kontroli nad tym, który komputer wysyła te pakiety, więc badam to z własnej ciekawości.

Oto informacje o typowym pakiecie zgłoszonym przez Wireshark:

--UDP--
Port źródłowy: 50623
Port docelowy: ssdp (1900)
Długość: 140
--HTTP--
Metoda zapytania: M-SEARCH
Żądanie URI: *
Poproś o wersję: HTTP / 1.1
MX: 3 \ r \ n
HOST: 239.255.255.250:1900\r\n
MĘŻCZYZNA: „ssdp: discover” \ r ​​\ n
ST: urn: schemas-upnp-org: service: WANIPConnection: 1 \ r \ n

Zrobiłem trochę Google i znalazłem link sugerujący, że może to być związane z Windows Messenger ; jedyną różnicą jest to, że ta strona internetowa mówi, że cel wyszukiwania powinien być, urn:schemas-upnp-org:device:InternetGatewayDevice:1ale pakiety, które widzę, mają cel wyszukiwania urn:schemas-upnp-org:device:WANIPConnection:1lub urn:schemas-upnp-org:device:WANPPPConnection:1.

Znalazłem również inny link sugerujący, że może on być powiązany z robakiem Downadup , ale ta strona internetowa mówi, że robak powinien wysyłać pakiety z czterema różnymi celami wyszukiwania, mianowicie dwoma, które widzę urn:schemas-upnp-org:device:InternetGatewayDevice:1oraz upnp:rootdevice. Nie jestem pewien, czy brak pozostałych dwóch celów wyszukiwania wskazuje, że nie jest to robak Downadup.

Znalazłem jeszcze inny link, który wspomina coś o Universal Plug-and-Play, ale tak naprawdę nie wiem wystarczająco dużo o UPnP, aby zinterpretować to, o czym mówią na tej stronie.

Czy ktoś rozpoznaje tę sytuację i może mi powiedzieć, co się działo z tym innym komputerem?

PS Nawiasem mówiąc: odkąd zacząłem pisać tę wiadomość, strumień pakietów wydaje się być zatrzymany.

Są to pakiety wykrywania UPnP. Ich celem jest odkrywanie urządzeń UPnP, takich jak routery domowe lub serwery multimediów. Na przykład program Windows Live Messenger próbuje wykryć router domowy, za którym jest podłączony, aby automatycznie przekierować niektóre porty sieciowe.

Stawka jest jednak niezwykła. Otrzymywanie dużej liczby tych pakietów w dużej sieci Ethernet jest normalne, ponieważ są one zwykle wysyłane na adres rozgłoszeniowy, ale odbieranie 18–20 na sekundę z jednego komputera jest nieprawidłowe.

Na wypadek, gdyby ktoś zobaczył te same pakiety. Tak, są to pakiety wykrywania UPnP szukające routera IP. Jeśli UPnP jest włączony w routerze, oprogramowanie, które chce je znaleźć, może dodawać mapowania portów, usuwać mapowania portów, uzyskać zewnętrzny adres IP (router Ip) itp.

Zasadniczo w większości przypadków kod wyszukujący typ usługi WANIPConnection lub WANIPPPConnection (ST: WANIPConnection / WANIPPPConnection) chce uzyskać połączenia przychodzące. Jest to typowe dla aplikacji P2P i wszelkiego rodzaju aplikacji wymagających połączenia przychodzącego. Robią to również wirusy i netboty.

Komputer z translacją NAT wymaga przekierowania portów, aby był możliwy do odzyskania i można to zrobić tylko od wewnątrz.

Wiem, że to stary post, ale po to, by podzielić się moimi badaniami na ten sam temat. Przechwyciłem również ten sam zestaw pakietów na moim wireshark.

Początkowo wyłączyłem UPnP na moim komputerze z systemem Windows 7, ale to nie pomogło. Po czym pozbyłem się tych głośnych pakietów, wyłączając UPnP na moim routerze.

To, czego należy szukać, to protokół SSDP - Simple Service Discovery Protocol (SSDP) to protokół sieciowy oparty na pakiecie Internet Protocol Suite do reklamowania i wykrywania usług sieciowych i informacji o obecności. -Wikipedia

To, co każdy powinien wiedzieć, to adres IP każdego urządzenia w swojej sieci osobistej ... więc powinieneś zobaczyć tego rodzaju wiadomości w Wireshark (o ile pozostają w twojej sieci, dobrze) dowiedzieć się, jak twój nieghbor dotarł do twojego sieć, ponieważ jego sprzęt próbuje zlokalizować twój sprzęt.

Przepraszam, że wpadłem na ten post, ale widzę, że nie znalazł odpowiedzi, ten problem nadal występuje w systemie Windows 7

Jeśli wyłączysz zarówno usługę wykrywania SSDP, jak i Universal Device Plug and Play Device Host, cały ruch SSDP nie zostanie zatrzymany; Port 1900 protokołu UDP (User Datagram Protocol) może być rejestrowany w dziennikach zapory lub dziennikach urządzeń filtrujących pakiety. Jeśli uruchomisz śledzenie ruchu, w sekcji danych pakietu zostaną wyświetlone następujące informacje:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Program Windows Messager wysyła pakiety SSDP, nie używa SSDP, ale tworzy pakiety SSDP i sam je wysyła (sam SSDP). Trzeba to wyłączyć w rejestrze.

Ważne W tej sekcji, metodzie lub zadaniu podano informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. Dlatego upewnij się, że dokładnie przestrzegasz tych kroków. Aby zwiększyć ochronę, wykonaj kopię zapasową rejestru przed jego zmodyfikowaniem. Następnie możesz przywrócić rejestr, jeśli wystąpi problem.

Aby rozwiązać ten problem, skonfiguruj rejestr, aby wyłączał komunikaty o wykrywaniu: 1. Uruchom Edytor rejestru (Regedt32.exe). 2. Zlokalizuj i kliknij następujący klucz w rejestrze: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3. W menu Edycja kliknij polecenie Dodaj wartość , a następnie dodaj następującą wartość rejestru:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4. Zamknij Edytor rejestru.

Właśnie zatrzymałem i wyłączyłem usługę UPnP na komputerze z systemem Windows 7 i nadal ją otrzymuję, więc nie pochodzi ona z UPnP na moim komputerze. Wiem, że ten post jest stary, ale chciałem dodać, że niekoniecznie jest to UPnP.