it-swarm.asia

Ağ M-SEARCH paketleriyle dolup taştı: bu ne anlama geliyor?

Wireshark'ı dairemdeki bilgisayarıma ateşledim ve apartmanın ağındaki başka bir bilgisayarın UDP paketleri üzerinden çok fazla HTTP gönderdiğini fark ettim (saniyede yaklaşık 18-20 ... belki bir "sel" değil, ama çok) istek satırında M-SEARCH * HTTP/1.1. Şimdi, ağ yöneticisi değilim ve hangi bilgisayarların bu paketleri gönderdiğini kontrol edemiyorum, bu yüzden bunu sadece kendi merakım için araştırıyorum.

Wireshark tarafından bildirilen tipik bir paketin bilgileri:

--UDP - 
 Kaynak bağlantı noktası: 50623 
 Hedef bağlantı noktası: ssdp (1900) 
 Uzunluk: 140 
 - HTTP - 
 İstek Yöntem: M-SEARCH 
 İstek URI'sı: * 
 İstek Sürümü: HTTP/1.1 
 MX: 3\r\n 
 Ana Bilgisayar: 239.255.255.250: 1900\r\n 
 MAN: "ssdp: keşfet"\r\n 
 ST: urn: schemas-upnp-org: service: WANIPBağlantı: 1\r\n

Bazı Googling yaptım ve bu Windows Messenger ile ilgili olabilir ; tek fark, bu web sayfasının arama hedefinin urn:schemas-upnp-org:device:InternetGatewayDevice:1, ancak gördüğüm paketlerin urn:schemas-upnp-org:device:WANIPConnection:1 veya urn:schemas-upnp-org:device:WANPPPConnection:1.

Ayrıca Downadup solucanı ile ilgili olabileceğini öne süren başka bir bağlantı buldum , ancak bu web sayfası solucanın dört farklı arama hedefi olan paketler göndermesi gerektiğini söylüyor. yanı sıra urn:schemas-upnp-org:device:InternetGatewayDevice:1 ve upnp:rootdevice. Diğer iki arama hedefinin yokluğunun bunun Downadup solucanı olmadığını gösterip göstermediğinden emin değilim.

Ve Evrensel Tak ve Kullan ile ilgili bir şey bahseden başka bir bağlantı buldum, ancak UPnP hakkında o sayfada ne hakkında konuştuklarını yorumlamak için yeterince bilgim yok.

Herkes bu durumu tanıyor mu ve bana o diğer bilgisayarda neler olup bittiğini söyleyebilir mi?

Not; Bu arada: bu mesajı yazmaya başladığımdan beri, paket akışı durmuş gibi görünüyor.

20
David Z

Bunlar UPnP keşif paketleri. Amaçları, ev yönlendiricileri veya medya sunucuları gibi UPnP cihazlarını keşfetmektir. Örneğin, Windows Live Messenger, bazı ağ bağlantı noktalarını otomatik olarak yeniden yönlendirmek için arkasında bağlı olduğu ev yönlendiricisini bulmaya çalışır.

Ancak oranı olağandışıdır. Bu paketlerin çoğunu büyük bir Ethernet ağında almak normaldir çünkü genellikle yayın adresine gönderilir, ancak tek bir bilgisayardan saniyede 18-20 almak anormaldir.

15
Etienne Dechamps

Bir başkasının aynı paketleri görmesi durumunda. Evet, bunlar bir IP yönlendirici arayan UPnP keşif paketleri. Yönlendiricinizde UPnP etkinse, bulmak isteyen yazılım bağlantı noktası eşlemeleri ekleyebilir, bağlantı noktası eşlemelerini silebilir, harici ip adresini (yönlendirici Ip) vb. Alabilir.

Temel olarak, çoğu zaman, bir WANIPConnection veya WANIPPPConnection Hizmet Türü (ST: WANIPConnection/WANIPPPConnection) arayan kod, gelen bağlantılara ulaşmak ister. Bu, P2P uygulamaları ve gelen bağlantı gerektiren her türlü uygulama için yaygındır. Ayrıca virüsler ve netbotlar da aynı şeyi yapar.

NATed bilgisayar, port yönlendirmenin erişilebilir olmasını gerektirir ve bu sadece içeriden yapılabilir.

3
lontivero

Bunun eski bir yazı olduğunu biliyorum ama sadece araştırmamı aynı şekilde paylaşmak için. Aynı paketi wireshark'ımda da yakalamıştım.

Başlangıçta Windows 7 Makinemde UPnP'yi devre dışı bırakmıştım ama bu yardımcı olmadı. Bundan sonra Yönlendiricimde UPnP'yi devre dışı bırakarak bu gürültülü paketlerden kurtuldum.

3

Bakılması gereken, protokolün SSDP olduğu - Basit Hizmet Bulma Protokolü (SSDP), ağ hizmetlerinin ve varlık bilgilerinin reklam ve keşfi için Internet Protokolü Paketi'ne dayanan bir ağ protokolüdür. -Wikipedia

Herkesin bilmesi gereken şey, kişisel ağlarındaki her ekipmanın IP adresidir ... bu nedenle, bu tür mesajları Wireshark'ta görmelisiniz (ağınızda kaldığı sürece, iyi) nieghbor'unuzun Çünkü ekipmanı ekipmanınızı bulmaya çalışıyor.

2
jasahasch

Bu gönderiyi çıkardığım için üzgünüm, ancak yanıtlanmamış olduğunu görüyorum, bu sorun Windows 7'de hala mevcut

Hem SSDP bulma hizmetini hem de Evrensel Tak ve Kullan Aygıt Ana Bilgisayarını kapatırsanız, tüm SSDP trafiği durdurulmaz; Kullanıcı Datagram Protokolü (UDP) bağlantı noktası 1900 trafiği, güvenlik duvarı günlüklerine veya paket filtreleme aygıtı günlüklerine kaydedilebilir. Trafiğin bir izini çalıştırırsanız, paketin veri bölümünde aşağıdaki bilgiler görüntülenir:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager, SSDP paketleri gönderir, SSDP kullanmaz, ancak SSDP paketlerini oluşturur ve kendileri gönderir (tek başına SSDP). Bunu kayıt defterinde devre dışı bırakmanız gerekir.

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımlar içermektedir, ancak kayıt defterini değiştirirseniz ciddi sorunlar oluşabilir. Bu nedenle, bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedekleyin. Daha sonra, bir sorun oluşursa kayıt defterini geri yükleyebilirsiniz.

Bu sorunu gidermek için <a0> </a0>, bulma iletilerini kapatmak için kayıt defterini yapılandırın: 1. Kayıt Defteri Düzenleyicisi'ni (Regedt32.exe) başlatın. Kayıt defterinde aşağıdaki anahtarı bulun ve tıklatın: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlayNATHelp\DPNHUPnP

Düzenle menüsünde, Değer Ekle öğesini tıklatın ve aşağıdaki kayıt defteri değerini ekleyin:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4.Kayıt Kayıt Defteri Düzenleyicisi.

2
Josh

Windows 7 PC'de UPnP hizmetini durdurdum ve devre dışı bıraktım ve hala bunları alıyorum, bu yüzden PC'imdeki UPnP'den gelmiyor. Bu yazının eski olduğunu biliyorum ama mutlaka UPnP olmadığını eklemek istedim.

1
Ian