Rede inundada com pacotes M-SEARCH: o que isso significa? [fechadas]

Navegue suas respostas
18

Eu liguei o Wireshark no meu computador no meu apartamento e notei que outro computador na rede do prédio estava enviando muito HTTP sobre pacotes UDP (cerca de 18-20 por segundo ... talvez não uma "inundação" ", mas muito) com a linha de solicitação M-SEARCH * HTTP/1.1 . Agora, eu não sou o administrador da rede e não tenho controle sobre o computador que está enviando esses pacotes, então estou investigando isso apenas para minha própria curiosidade.

Estas são as informações de um pacote típico, conforme relatado pelo Wireshark: 

--UDP--
Source port: 50623
Destination port: ssdp (1900)
Length: 140
--HTTP--
Request Method: M-SEARCH
Request URI: *
Request Version: HTTP/1.1
MX: 3\r\n
HOST: 239.255.255.250:1900\r\n
MAN: "ssdp:discover"\r\n
ST: urn:schemas-upnp-org:service:WANIPConnection:1\r\n

Eu pesquisei no Googling e encontrei um link sugerindo que este poderia estar relacionado ao Windows Messenger ; a única diferença é que essa página da web diz que o destino de pesquisa deve ser urn:schemas-upnp-org:device:InternetGatewayDevice:1 , mas os pacotes que estou vendo têm um destino de pesquisa de urn:schemas-upnp-org:device:WANIPConnection:1 ou urn:schemas-upnp-org:device:WANPPPConnection:1 .

Também encontrei outro link sugerindo que poderia estar relacionado ao worm Downadup , mas essa página da web diz que o worm deve enviar pacotes com quatro destinos de pesquisa diferentes, ou seja, os dois que estou vendo, bem como urn:schemas-upnp-org:device:InternetGatewayDevice:1 e upnp:rootdevice . Não tenho certeza se a ausência dos outros dois alvos de pesquisa indica que este não é o worm Downadup.

E eu encontrei outro link que menciona algo a ver com o Universal Plug-and-Play mas eu realmente não sei o suficiente sobre UPnP para interpretar o que eles estão falando sobre essa página.

Alguém reconhece essa situação e pode me dizer o que poderia estar acontecendo com esse outro computador?

P.S. Incidentalmente: desde que comecei a escrever esta mensagem, o fluxo de pacotes parece ter parado.

    
por David Z 13.09.2009 / 09:05

6 respostas

13

Estes são pacotes de descoberta UPnP. Seu objetivo é descobrir dispositivos UPnP, como roteadores domésticos ou servidores de mídia. Por exemplo, o Windows Live Messenger tenta descobrir o roteador doméstico atrás do qual está conectado para redirecionar algumas portas de rede automaticamente.

A taxa é incomum, no entanto. É normal receber muitos desses pacotes em uma grande rede Ethernet, porque eles geralmente são enviados para o endereço de broadcast, mas receber 18-20 por segundo de um computador único é anormal.

    
por 13.09.2009 / 16:15
3

Apenas no caso de alguém ver os mesmos pacotes. Sim, esses são pacotes de descoberta UPnP procurando por um roteador IP. Se o UPnP estiver habilitado no seu roteador, o software que deseja encontrá-lo pode adicionar mapeamentos de portas, excluir mapeamentos de portas, obter o endereço IP externo (o roteador Ip) etc.

Basicamente, na maioria das vezes, o código em busca de um Tipo de Serviço WANIPConnection ou WANIPPPConnection (ST: WANIPConnection / WANIPPPConnection) deseja obter conexões de entrada. Isso é comum em aplicativos P2P e em todos os tipos de aplicativos que exigem conexão de entrada. Também vírus e netbots fazem o mesmo.

Um computador NAT requer o encaminhamento de porta para ser alcançável e isso só pode ser feito de dentro.

    
por 17.05.2014 / 01:48
3

Eu sei que este é um post antigo, mas apenas para compartilhar minha pesquisa sobre o mesmo. Eu tinha capturado o mesmo conjunto de pacotes no meu wireshark também.

Inicialmente eu tinha desativado o UPnP na minha máquina com o Windows 7, mas isso não ajudou. Depois disso, me livrei desses pacotes barulhentos desativando o UPnP no meu roteador.

    
por 16.04.2012 / 16:12
2

O que procurar é que o protocolo seja SSDP - o SSDP (Simple Service Discovery Protocol) é um protocolo de rede baseado na Internet Protocol Suite para anúncio e descoberta de serviços de rede e informações de presença. -Wikipedia

O que todo mundo deveria saber é o endereço IP de cada equipamento em sua rede pessoal ... então você deve ver esses tipos de mensagens no Wireshark (contanto que eles permaneçam dentro da sua rede, bom) descubra como o seu nieghbor chegou à sua rede, porque o equipamento dele está tentando localizar o seu equipamento.

    
por 19.07.2011 / 09:32
2

Desculpe-me por dar um bump nessa postagem, mas vejo que ela não foi atendida. Esse problema ainda existe no Windows 7

Se você desativar o serviço de descoberta do SSDP e o host do dispositivo Plug and Play universal, todo o tráfego do SSDP não será interrompido; O tráfego da porta 1900 do UDP (User Datagram Protocol) pode ser registrado em logs de firewall ou em logs de dispositivos de filtragem de pacotes. Se você executar um rastreamento do tráfego, as seguintes informações serão exibidas na seção de dados do pacote: 

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3

O Windows Messager envia pacotes SSDP, não usa o SSDP, mas cria os pacotes SSDP e os envia por conta própria (é o próprio SSDP). Você teria que desabilitar isso no registro.

Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, podem ocorrer sérios problemas se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para proteção adicional, faça o backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema.

Para resolver esse problema, configure o registro para desativar as mensagens de descoberta: 1.Inicie o Editor do Registro (Regedt32.exe). 2.Locate e clique na seguinte chave no registro: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3.No menu Editar , clique em Adicionar valor e adicione o seguinte valor de registro: 

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2

4.Requisito de registro do Quit.

    
por 03.10.2014 / 03:55
1

Acabei de interromper e desabilitei o serviço UPnP em um computador com Windows 7 e ainda os recebo, por isso não vem do UPnP no meu PC. Eu sei que este post é antigo, mas queria acrescentar que não é necessariamente UPnP.

    
por 25.05.2011 / 01:34

Tags

Como o usuário do Amazon ec2 obtém seus direitos de sudo Como posso exportar regras de reescrita de URLs?