sviluppo-web-qa.it

Rete inondata di pacchetti M-SEARCH: cosa significa?

Ho appena acceso Wireshark sul mio computer nel mio appartamento e ho notato che un altro computer sulla rete del condominio stava inviando un sacco di pacchetti HTTP su UDP (circa 18-20 al secondo ... forse non un "diluvio", ma molto) con la riga di richiesta M-SEARCH * HTTP/1.1. Ora, non sono l'amministratore di rete e non ho alcun controllo su qualsiasi computer stia inviando quei pacchetti, quindi sto indagando su questo solo per mia curiosità.

Ecco le informazioni di un pacchetto tipico come riportato da Wireshark:

--UDP - 
 Porta di origine: 50623 
 Porta di destinazione: ssdp (1900) 
 Lunghezza: 140 
 - HTTP - 
 Richiesta Metodo: M-SEARCH 
 URI richiesta: * 
 Versione richiesta: HTTP/1.1 
 MX: 3\r\n 
 Host: 239.255.255.250: 1900\r\n 
 MAN: "ssdp: discover"\r\n 
 ST: urna: schemas-upnp-org: service: WANIPConnection: 1\r\n

Ho fatto un po 'di Google e ho trovato un link che suggerisce che questo potrebbe essere correlato a Windows Messenger ; l'unica differenza è che quella pagina web dice che l'obiettivo di ricerca dovrebbe essere urn:schemas-upnp-org:device:InternetGatewayDevice:1 ma i pacchetti che vedo hanno un target di ricerca di urn:schemas-upnp-org:device:WANIPConnection:1 o urn:schemas-upnp-org:device:WANPPPConnection:1.

Ho anche trovato un altro link che suggerisce che potrebbe essere correlato al worm Downadup , ma quella pagina web dice che il worm dovrebbe inviare pacchetti con quattro diversi target di ricerca, vale a dire i due che vedo come così come urn:schemas-upnp-org:device:InternetGatewayDevice:1 e upnp:rootdevice. Non sono sicuro che l'assenza degli altri due target di ricerca indichi che questo non è il worm Downadup.

E ho trovato un altro link che menziona qualcosa a che fare con Universal Plug-and-Play ma in realtà non so abbastanza su UPnP per interpretare ciò di cui stanno parlando in quella pagina.

Qualcuno riconosce questa situazione e può dirmi cosa sarebbe potuto succedere con quell'altro computer?

Post scriptum Per inciso: da quando ho iniziato a scrivere questo messaggio, il flusso di pacchetti sembra essersi fermato.

20
David Z

Questi sono pacchetti di rilevamento UPnP. Il loro scopo è scoprire dispositivi UPnP come router domestici o server multimediali. Ad esempio, Windows Live Messenger tenta di rilevare il router di casa dietro il quale è collegato per reindirizzare automaticamente alcune porte di rete.

Il tasso è insolito, però. È normale ricevere molti di questi pacchetti su una grande rete Ethernet perché di solito vengono inviati all'indirizzo di trasmissione, ma ricevere 18-20 al secondo da un computer singolo è anormale.

15
Etienne Dechamps

Nel caso in cui qualcun altro veda gli stessi pacchetti. Sì, questi sono pacchetti di rilevamento UPnP che cercano un router IP. Se UPnP è abilitato nel tuo router, il software che vuole trovarlo può aggiungere mappature delle porte, eliminare le mappature delle porte, ottenere l'indirizzo IP esterno (il router Ip), ecc.

Fondamentalmente, il più delle volte, il codice che cerca un tipo di servizio WANIPConnection o WANIPPPConnection (ST: WANIPConnection/WANIPPPConnection) vuole ottenere connessioni in entrata. Questo è comune per le applicazioni P2P e tutti i tipi di applicazioni che richiedono una connessione in entrata. Anche virus e netbot fanno lo stesso.

Un computer NAT richiede che il port forwarding sia raggiungibile e che possa essere fatto solo dall'interno.

3
lontivero

So che questo è un vecchio post, ma solo per condividere le mie ricerche sullo stesso. Avevo catturato lo stesso set di pacchetti anche sul mio WireShark.

Inizialmente avevo disabilitato UPnP sul mio computer con Windows 7, ma questo non mi è stato di aiuto. Dopo di che mi sono sbarazzato di questi pacchetti rumorosi disabilitando UPnP sul mio router.

3

Cosa cercare è che il protocollo sia SSDP - il Simple Service Discovery Protocol (SSDP) è un protocollo di rete basato su Internet Protocol Suite per la pubblicità e la scoperta di servizi di rete e informazioni sulla presenza. -Wikipedia

Quello che tutti dovrebbero sapere è l'indirizzo IP di ogni apparecchiatura sulla propria rete personale ... quindi dovresti vedere questo tipo di messaggi in Wireshark (purché rimangano all'interno della tua rete, bene) per scoprire come il tuo nieghbor è arrivato alla tua rete, perché la sua attrezzatura sta cercando di localizzare la tua attrezzatura.

2
jasahasch

Mi dispiace pubblicare questo post ma vedo che è rimasto senza risposta, questo problema esiste ancora su Windows 7

Se si disattivano sia il servizio di rilevamento SSDP sia l'host dispositivo Plug and Play universale, tutto il traffico SSDP non viene arrestato; Il traffico della porta 1900 UDP (User Datagram Protocol) può essere registrato nei registri del firewall o nei registri dei dispositivi di filtraggio dei pacchetti. Se si esegue una traccia del traffico, le seguenti informazioni vengono visualizzate nella sezione dati del pacchetto:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager invia pacchetti SSDP, non utilizza SSDP ma crea i pacchetti SSDP e li invia da soli (è SSDP da solo). Dovresti disabilitarlo nel registro.

Importante( Questa sezione, metodo o attività contiene passaggi che indicano come modificare il registro, tuttavia potrebbero verificarsi seri problemi se si modifica il registro in modo errato. Pertanto, assicurarsi di seguire attentamente questi passaggi. Per una maggiore protezione, eseguire il backup del registro prima di modificarlo. Quindi, è possibile ripristinare il registro in caso di problemi.

Per risolvere questo problema, configurare il registro per disattivare i messaggi di individuazione: 1. Avviare l'Editor del Registro di sistema (Regedt32.exe). 2. Individuare e fare clic sulla chiave seguente nel registro: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlayNATHelp\DPNHUPnP

3. Nel menu Modifica, fare clic su Aggiungi valore, quindi aggiungere il seguente valore di registro:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4.Quit Registry Editor.

2
Josh

Ho appena interrotto e disabilitato il servizio UPnP su un PC Windows 7 e li ottengo ancora, quindi non proviene da UPnP sul mio PC. So che questo post è vecchio ma volevo aggiungere che non è necessariamente UPnP.

1
Ian