it-swarm.com.de

Netzwerk mit M-SEARCH-Paketen überflutet: Was bedeutet das?

Ich habe gerade Wireshark auf meinem Computer in meiner Wohnung gestartet und festgestellt, dass ein anderer Computer im Netzwerk des Wohnhauses viel HTTP über UDP-Pakete gesendet hat (ungefähr 18-20 pro Sekunde ... vielleicht keine "Flut", aber viel) mit der Anforderungszeile M-SEARCH * HTTP/1.1. Jetzt bin ich nicht der Netzwerkadministrator und habe keine Kontrolle darüber, welcher Computer diese Pakete versendet. Daher untersuche ich dies nur aus eigener Neugier.

Hier sind die Informationen eines typischen Pakets, wie von Wireshark gemeldet:

--UDP - 
 Quellport: 50623 
 Zielport: ssdp (1900) 
 Länge: 140 
 - HTTP - 
 Anfrage Methode: M-SEARCH 
 Anforderungs-URI: * 
 Anforderungsversion: HTTP/1.1 
 MX: 3\r\n 
 Host: 239.255.255.250: 1900\r\n 
 MAN: "ssdp: entdecken"\r\n 
 ST: Urne: schemas-upnp-org: Dienst: WANIPConnection: 1\r\n

Ich habe ein bisschen gegoogelt und einen Link gefunden, der darauf hinweist, dass dies mit Windows Messenger zusammenhängen könnte. Der einzige Unterschied besteht darin, dass auf dieser Webseite angegeben wird, dass das Suchziel urn:schemas-upnp-org:device:InternetGatewayDevice:1 sein soll, die Pakete, die ich sehe, jedoch ein Suchziel von urn:schemas-upnp-org:device:WANIPConnection:1 oder urn:schemas-upnp-org:device:WANPPPConnection:1 haben.

Ich habe auch einen anderen Link gefunden, der darauf hinweist, dass er mit dem Downadup-Wurm zusammenhängen könnte, aber diese Webseite besagt, dass der Wurm Pakete mit vier verschiedenen senden sollte Suchziele, nämlich die beiden, die ich sehe, sowie urn:schemas-upnp-org:device:InternetGatewayDevice:1 und upnp:rootdevice. Ich bin mir nicht sicher, ob das Fehlen der beiden anderen Suchziele darauf hindeutet, dass dies nicht der Downadup-Wurm ist.

Und ich habe noch einen weiteren Link gefunden, der etwas mit Universal Plug-and-Play zu tun hat, aber ich weiß wirklich nicht genug über UPnP, um zu interpretieren, was sie sind Ich spreche auf dieser Seite darüber.

Erkennt jemand diese Situation und kann mir sagen, was mit diesem anderen Computer passiert sein könnte?

P.S. Übrigens: Seit ich diese Nachricht schreibe, scheint der Paketstrom gestoppt zu sein.

20
David Z

Dies sind UPnP-Erkennungspakete. Ihr Zweck ist es, UPnP-Geräte wie Heimrouter oder Medienserver zu erkennen. Beispielsweise versucht Windows Live Messenger, den Heimrouter zu ermitteln, hinter dem eine Verbindung besteht, um einige Netzwerkports automatisch umzuleiten.

Die Rate ist jedoch ungewöhnlich. Es ist normal, viele dieser Pakete in einem großen Ethernet-Netzwerk zu empfangen, da sie normalerweise an die Broadcast-Adresse gesendet werden. Der Empfang von 18 bis 20 pro Sekunde von einem einzelnen Computer ist jedoch abnormal.

15

Nur für den Fall, dass jemand anderes die gleichen Pakete sieht. Ja, dies sind UPnP-Erkennungspakete, die nach einem IP-Router suchen. Wenn UPnP in Ihrem Router aktiviert ist, kann die Software, die es finden möchte, Portzuordnungen hinzufügen, Portzuordnungen löschen, die externe IP-Adresse (die Router-IP) usw. abrufen.

Grundsätzlich möchte der Code, der nach einem WANIPConnection- oder WANIPPPConnection-Diensttyp (ST: WANIPConnection/WANIPPPConnection) sucht, in den meisten Fällen eingehende Verbindungen herstellen. Dies gilt häufig für P2P-Anwendungen und alle Arten von Anwendungen, für die eine eingehende Verbindung erforderlich ist. Auch Viren und Netbots tun dasselbe.

Für einen NAT-Computer muss die Portweiterleitung erreichbar sein, und dies kann nur von innen erfolgen.

3
lontivero

Ich weiß, dass dies ein alter Beitrag ist, aber nur um meine Forschung darüber zu teilen. Ich hatte die gleichen Pakete auch auf meinem Wireshark erfasst.

Ich hatte UPnP anfangs auf meinem Windows 7-Computer deaktiviert, aber das half nicht. Danach habe ich diese verrauschten Pakete durch Deaktivieren von UPnP auf meinem Router beseitigt.

3

Zu beachten ist, dass das Protokoll SSDP ist - das Simple Service Discovery Protocol (SSDP) ist ein Netzwerkprotokoll, das auf der Internet Protocol Suite für die Ankündigung und Erkennung von Netzwerkdiensten und Anwesenheitsinformationen basiert. -Wikipedia

Was jeder wissen sollte, ist die IP-Adresse jedes Geräts in seinem persönlichen Netzwerk. Sie sollten diese Art von Nachrichten in Wireshark sehen (solange sie in Ihrem Netzwerk verbleiben, gut) und herausfinden, wie Ihr Nieghbor zu Ihrem Gerät gelangt ist Netzwerk, weil seine Ausrüstung versucht, Ihre Ausrüstung zu lokalisieren.

2
jasahasch

Es tut mir leid, diesen Beitrag zu stoßen, aber ich sehe, dass er unbeantwortet blieb. Dieses Problem besteht unter Windows 7 immer noch

Wenn Sie sowohl den SSDP-Erkennungsdienst als auch den Universal Plug and Play-Gerätehost deaktivieren, wird der gesamte SSDP-Verkehr nicht gestoppt. Der Datenverkehr des UDP-Ports (User Datagram Protocol) 1900 kann in Firewall-Protokollen oder Paketfilter-Geräteprotokollen protokolliert werden. Wenn Sie eine Ablaufverfolgung des Datenverkehrs ausführen, werden im Datenabschnitt des Pakets die folgenden Informationen angezeigt:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager sendet SSDP-Pakete, verwendet kein SSDP, erstellt jedoch die SSDP-Pakete und sendet sie selbst (es ist SSDP für sich). Sie müssten dies in der Registrierung deaktivieren.

Wichtig Dieser Abschnitt, diese Methode oder Aufgabe enthält Schritte, in denen Sie erfahren, wie Sie die Registrierung ändern. Beim Ändern der Registrierung können jedoch schwerwiegende Probleme auftreten falsch. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Sichern Sie für zusätzlichen Schutz die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt.

Um dieses Problem zu beheben, konfigurieren Sie die Registrierung so, dass die Erkennungsnachrichten deaktiviert werden: 1.Starten Sie den Registrierungseditor (Regedt32.exe). 2. Suchen Sie den folgenden Schlüssel in der Registrierung und klicken Sie darauf: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlayNATHelp\DPNHUPnP

3.Klicken Sie im Menü Bearbeiten auf Wert hinzufügen und fügen Sie dann den folgenden Registrierungswert hinzu:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4.Quit Registry Editor.

2
Josh

Ich habe gerade den UPnP-Dienst auf einem Windows 7-PC gestoppt und deaktiviert und erhalte diese weiterhin, sodass er nicht von UPnP auf meinem PC stammt. Ich weiß, dass dieser Beitrag alt ist, wollte aber hinzufügen, dass es nicht unbedingt UPnP ist.

1
Ian