Сеть переполнена пакетами M-SEARCH: что это означает? [закрыто]
Я только что запустил Wireshark на своем компьютере в своей квартире и заметил, что другой компьютер в сети многоквартирного дома отправлял много HTTP-пакетов через UDP (около 18-20 в секунду ... возможно, это не "наводнение" ", но много) со строкой запроса M-SEARCH * HTTP / 1.1 . Я не являюсь сетевым администратором и не могу контролировать, какой компьютер отправляет эти пакеты, поэтому я ' Я исследую это просто из собственного любопытства.
Вот информация о типичном пакете, сообщенная Wireshark:
--UDP-- Source port: 50623 Destination port: ssdp (1900) Length: 140 --HTTP-- Request Method: M-SEARCH Request URI: * Request Version: HTTP/1.1 MX: 3\r\n HOST: 239.255.255.250:1900\r\n MAN: "ssdp:discover"\r\n ST: urn:schemas-upnp-org:service:WANIPConnection:1\r\n
Я погуглил и нашел ссылку, предполагающую, что этот может быть связан с Windows Messenger ; единственное отличие состоит в том, что на этой веб-странице указано, что целью поиска должна быть urn: schemas-upnp-org: device: InternetGatewayDevice: 1 , но пакеты, которые я вижу, имеют целью поиска urn: schemas-upnp-org: device: WANIPConnection: 1 или urn: schemas-upnp-org: device: WANPPPConnection: 1 .
Я также нашел еще одну ссылку, предполагающую, что она могла быть связана с червем Downadup , но на этой веб-странице говорится, что червь должен рассылать пакеты с четырьмя разными целями поиска, а именно с двумя. видя, а также urn: schemas-upnp-org: device: InternetGatewayDevice: 1 и upnp: rootdevice . Я не уверен, указывает ли отсутствие двух других целей поиска на то, что это не червь Downadup.
И я нашел еще одну ссылку, в которой упоминается что-то, связанное с Universal Plug-and-Play , но я действительно недостаточно знаю о UPnP, чтобы интерпретировать то, о чем они говорят на этой странице.
Кто-нибудь осознает эту ситуацию и может сказать мне, что могло происходить с этим другим компьютером?
P.S. Между прочим: с тех пор, как я начал писать это сообщение, поток пакетов вроде бы остановился.
Это пакеты исследования UPnP. Их цель состоит в том, чтобы обнаружить устройства UPnP как домашние маршрутизаторы или медиасерверы. Например, Windows Live Messenger пытается обнаружить домашний маршрутизатор, позади которого он соединен для перенаправления некоторых сетевых портов автоматически.
Уровень необычен, все же. Нормально получить много этих пакетов в большой сети Ethernet, потому что они обычно отправляются в широковещательный адрес, но получение 18-20 в секунду от одиночного компьютера является аварийным.
-
1Хороший для знания... Я полагал, что это было чем-то как этот, но благодарит подтвердить. Никакое предположение относительно причины, хотя? (вирус/червь или псевдонормальное действие Messenger?) – David Z 14 September 2009 в 00:25
То, что искать, - то, что это, протокол является SSDP - Простой сервисный протокол обнаружения (SSDP), является сетевым протоколом на основе Семейства протоколов Интернета для рекламы и исследования информации о присутствии и сетевых служб. - Википедия
То, что все должны знать, является IP-адресом каждого элемента оборудования в их персональной сети..., таким образом, необходимо видеть эти виды сообщений в Wireshark (как долго, поскольку они остаются в сети, хороший) узнают, как сосед добрался до сети, потому что его оборудование пытается определить местоположение оборудования.
Я знаю, что это старый пост, но просто для того, чтобы поделиться своими исследованиями. Я захватил тот же набор пакетов на моем wirehark.
Изначально я отключил UPnP на моем компьютере с Windows 7, но это не помогло. После чего я избавился от этих зашумленных пакетов, отключив UPnP на моем маршрутизаторе.
На случай, если кто-то увидит такие же пакеты. Да, это пакеты обнаружения UPnP для поиска IP-маршрутизатора. Если в вашем маршрутизаторе включен UPnP, программное обеспечение, которое хочет его найти, может добавлять сопоставления портов, удалять сопоставления портов, получать внешний IP-адрес (IP-адрес маршрутизатора) и т. Д.
В основном, в большинстве случаев поиск кода для типа службы WANIPConnection или WANIPPPConnection (ST: WANIPConnection / WANIPPPConnection) требуется установить входящие соединения. Это характерно для приложений P2P и всех видов приложений, требующих входящего соединения. То же самое делают и вирусы и сетевые боты.
Компьютер с NAT требует, чтобы переадресация портов была достижимой, а это можно сделать только изнутри.
Извините, что не могу ответить на этот пост, но я вижу, что он остался без ответа, эта проблема все еще существует в Windows 7
Если вы отключите службу обнаружения SSDP и Universal Plug and Play Device Host, весь трафик SSDP не будет остановлен; трафик 1900 порта User Datagram Protocol (UDP) может быть записан в журналы брандмауэра или в журналы устройств фильтрации пакетов. Если вы запускаете трассировку трафика, то в разделе данных пакета отображается следующая информация:
SSDP: Method = M-SEARCH
SSDP: Uniform Resource Identifier = *
SSDP: HTTP Protocol Version = HTTP/1.1
SSDP: Host = 239.255.255.250:1900
SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
SSDP: Mandatory Extension = "ssdp:discover"
SSDP: Maximum Wait = 3
Windows Messager посылает SSDP пакеты, он не использует SSDP, а создает SSDP пакеты и посылает их сам (он сам по себе - SSDP). Вы должны отключить это в реестре.
Важно Этот раздел, метод или задача содержит шаги, которые расскажут вам, как модифицировать реестр. Однако, если вы модифицируете реестр неправильно, могут возникнуть серьезные проблемы. Следовательно, убедитесь, что вы внимательно следуете этим шагам. Для дополнительной защиты создайте резервную копию реестра перед внесением изменений. Затем вы сможете восстановить реестр в случае возникновения проблем.
Чтобы решить эту проблему, настройте реестр так, чтобы он отключал сообщения об обнаружении: 1.Запустите редактор реестра (Regedt32.exe). 2.Найдите и нажмите на следующий ключ в реестре: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlayNATHelp\DPNHUPnP
3.В меню Edit нажмите Add Value, а затем добавьте следующее значение реестра:
Value name: UPnPMode
Data type: REG_DWORD
Value data: 2
4.Quit Registry Editor.
.