M-SEARCHパケットであふれたネットワーク:それはどういう意味ですか?[閉まっている]


20

アパートのコンピューターでWiresharkを起動したところ、アパートのネットワーク上の別のコンピューターが多くのHTTP over UDPパケットを送信していることに気づきました(1秒あたり約18〜20 ...「洪水」ではないかもしれませんが、たくさん)リクエストラインでM-SEARCH * HTTP/1.1。現在、私はネットワーク管理者ではなく、これらのパケットを送信しているコンピューターを制御することはできません。そのため、単に自分の好奇心のために調査しています。

Wiresharkによって報告される典型的なパケットの情報は次のとおりです。

--UDP--
送信元ポート:50623
宛先ポート:ssdp(1900)
長さ:140
--HTTP--
リクエスト方法:M-SEARCH
リクエストURI:*
要求バージョン:HTTP / 1.1
MX:3 \ r \ n
ホスト:239.255.255.250:1900\r\n
MAN: "ssdp:discover" \ r \ n
ST:urn:schemas-upnp-org:service:WANIPConnection:1 \ r \ n

私はいくつかのグーグルを行い、これがWindows Messengerに関連している可能性があることを示唆するリンクを見つけました。唯一の違いは、そのウェブページが検索対象であるべきと言うことですurn:schemas-upnp-org:device:InternetGatewayDevice:1が、私は見ているパケットがの検索対象を持っていますurn:schemas-upnp-org:device:WANIPConnection:1urn:schemas-upnp-org:device:WANPPPConnection:1

私はまた別のリンクは、それがあることを示唆したDownadupワームに関連している可能性が、しかし、そのウェブページは、ワームは、4つの異なる検索対象、すなわち2は私がだけでなく、見ていると、パケットを送信する必要があることを述べているurn:schemas-upnp-org:device:InternetGatewayDevice:1upnp:rootdevice。他の2つの検索ターゲットが存在しないことが、これがDownadupワームではないことを示しているかどうかはわかりません。

また、ユニバーサルプラグアンドプレイに関する情報を記載した別のリンクを見つけましたが、UPnPについては、そのページで話していることを解釈するのに十分な知識がありません。

誰かがこの状況を認識し、他のコンピューターで何が起こっていたのか教えてくれますか?

PSちなみに:このメッセージを書き始めてから、パケットストリームは停止したようです。

回答:


15

これらはUPnPディスカバリパケットです。その目的は、ホームルーターやメディアサーバーなどのUPnPデバイスを検出することです。たとえば、Windows Live Messengerは、いくつかのネットワークポートを自動的にリダイレクトするために、背後に接続されているホームルーターを検出しようとします。

ただし、その割合は異常です。これらのパケットは通常ブロードキャストアドレスに送信されるため、大規模なイーサネットネットワークでこれらのパケットを大量に受信するのは正常ですが、1台のコンピューターから1秒あたり18〜20を受信することは異常です。


知っておくと良いことです...私はそれがそのようなものだと考えましたが、確認してくれてありがとう。しかし、原因に関する憶測はありませんか?(ウイルス/ワームまたは擬似通常のメッセンジャーアクティビティ?)
デビッドZ

3

他の人が同じパケットを見る場合に備えて。はい、これらはIPルーターを検索するUPnPディスカバリパケットです。ルーターでUPnPが有効になっている場合、それを検索するソフトウェアは、ポートマッピングの追加、ポートマッピングの削除、外部IPアドレス(ルーターIP)の取得などを行うことができます。

基本的に、ほとんどの場合、WANIPConnectionまたはWANIPPPConnectionサービスタイプ(ST:WANIPConnection / WANIPPPConnection)を検索するコードは、インバウンド接続を達成することを望んでいます。これは、P2Pアプリケーションおよびインバウンド接続を必要とするすべての種類のアプリケーションに共通です。ウイルスとネットボットも同じことをします。

NATされたコンピューターでは、ポート転送が到達可能である必要があり、それは内部からのみ可能です。


3

私はこれが古い投稿であることを知っていますが、同じ研究を共有するだけです。Wiresharkでも同じパケットセットをキャプチャしました。

最初にWindows 7マシンでUPnPを無効にしましたが、これは役に立ちませんでした。その後、ルーターでUPnPを無効にして、これらのノイズの多いパケットを取り除きました。


2

探すべきものは、プロトコルがSSDPであることです。SimpleService Discovery Protocol(SSDP)は、ネットワークサービスおよびプレゼンス情報のアドバタイズメントおよびディスカバリーのためのインターネットプロトコルスイートに基づくネットワークプロトコルです。-ウィキペディア

誰もが知っておくべきことは、パーソナルネットワーク上のすべての機器のIPアドレスです...だから、これらの種類のメッセージをWiresharkで見ることができます(ネットワーク内に残っている限り、良い)ネットワーク、彼の機器があなたの機器を見つけようとしているため。


2

この投稿をバンプしてすみませんが、未回答になりました。この問題はWindows 7にも存在します

SSDPディスカバリサービスとユニバーサルプラグアンドプレイデバイスホストの両方をオフにしても、すべてのSSDPトラフィックは停止しません。ユーザーデータグラムプロトコル(UDP)ポート1900のトラフィックは、ファイアウォールログまたはパケットフィルターデバイスログに記録される場合があります。トラフィックのトレースを実行すると、パケットのデータセクションに次の情報が表示されます。

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows MessagerはSSDPパケットを送信します。SSDPは使用しませんが、SSDPパケットを作成して送信します(SSDPはそれ自体です)。レジストリでこれを無効にする必要があります。

重要 このセクション、メソッド、またはタスクには、レジストリの変更方法を説明する手順が含まれています。ただし、レジストリを誤って変更すると、重大な問題が発生する可能性があります。したがって、これらの手順を慎重に実行してください。保護を強化するには、レジストリを変更する前にバックアップしてください。その後、問題が発生した場合にレジストリを復元できます。

この問題を解決するには、検出メッセージをオフにするようにレジストリを設定します。1.レジストリエディタ(Regedt32.exe)を起動します。2.レジストリで次のキーを見つけてクリックします。HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3. [ 編集 ]メニューの[ 値の追加 ]をクリックし、次のレジストリ値を追加します。

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4.レジストリエディタを終了します。


1

Windows 7 PCでUPnPサービスを停止して無効にしましたが、まだこれらを取得しているので、PCのUPnPからは来ません。この投稿は古いことは知っていますが、必ずしもUPnPではないことを付け加えたいと思います。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.