Netzwerk mit M-SEARCH-Paketen überflutet: Was bedeutet das? [geschlossen]

Ich habe gerade Wireshark auf meinem Computer in meiner Wohnung ausgelöst und festgestellt, dass ein anderer Computer im Netzwerk des Wohnhauses eine Menge HTTP über UDP-Pakete sendet (ungefähr 18-20 pro Sekunde ... vielleicht keine "Flut", aber viel) mit der Anfragezeile M-SEARCH * HTTP/1.1. Jetzt bin ich nicht der Netzwerkadministrator, und ich habe keine Kontrolle darüber, welcher Computer diese Pakete versendet. Deshalb untersuche ich dies nur aus Neugier.

Hier sind die Informationen eines typischen Pakets, wie von Wireshark gemeldet:

--UDP--
Quellport: 50623
Zielhafen: ssdp (1900)
Länge: 140
--HTTP--
Anforderungsmethode: M-SEARCH
URI anfordern: *
Anforderungsversion: HTTP / 1.1
MX: 3 \ r \ n
Host: 239.255.255.250:1900 \ r \ n
MAN: "ssdp: discover" \ r \ n
ST: urn: schemas-upnp-org: service: WANIPConnection: 1 \ r \ n

Ich habe ein wenig gegoogelt und einen Link gefunden, der darauf hindeutet, dass dies mit Windows Messenger zusammenhängt . Der einzige Unterschied ist, dass diese Webseite angibt, dass das Suchziel sein soll, urn:schemas-upnp-org:device:InternetGatewayDevice:1aber die Pakete, die ich sehe, haben ein Suchziel von urn:schemas-upnp-org:device:WANIPConnection:1oder urn:schemas-upnp-org:device:WANPPPConnection:1.

Ich habe auch einen anderen Link gefunden, der darauf hindeutet, dass es sich um den Downadup-Wurm handeln könnte , aber auf dieser Webseite steht, dass der Wurm Pakete mit vier verschiedenen Suchzielen senden sollte, nämlich den beiden, die ich sehe, sowie urn:schemas-upnp-org:device:InternetGatewayDevice:1und upnp:rootdevice. Ich bin nicht sicher, ob das Fehlen der beiden anderen Suchziele darauf hindeutet, dass dies nicht der Downadup-Wurm ist.

Und ich habe einen weiteren Link gefunden, der etwas mit Universal Plug-and-Play zu tun hat, aber ich weiß wirklich nicht genug über UPnP, um zu interpretieren, worüber sie auf dieser Seite sprechen.

Kennt jemand diese Situation und kann mir sagen, was mit diesem anderen Computer passiert sein könnte?

PS Übrigens: Seit ich mit dem Schreiben dieser Nachricht begonnen habe, scheint der Paketstrom gestoppt zu sein.

Dies sind UPnP-Erkennungspakete. Ihr Zweck ist es, UPnP-Geräte wie Heimrouter oder Medienserver zu erkennen. Beispielsweise versucht Windows Live Messenger, den Heimrouter zu ermitteln, hinter dem die Verbindung hergestellt wurde, um einige Netzwerkports automatisch umzuleiten.

Die Rate ist jedoch ungewöhnlich. Es ist normal, dass viele dieser Pakete in einem großen Ethernet-Netzwerk empfangen werden, da sie normalerweise an die Broadcast-Adresse gesendet werden. Der Empfang von 18-20 pro Sekunde von einem einzelnen Computer ist jedoch nicht normal.

Nur für den Fall, dass jemand anderes die gleichen Pakete sieht. Ja, dies sind UPnP-Erkennungspakete, die nach einem IP-Router suchen. Wenn UPnP in Ihrem Router aktiviert ist, kann die Software, die es finden möchte, Anschlusszuordnungen hinzufügen, Anschlusszuordnungen löschen, die externe IP-Adresse (den Router-IP) abrufen usw.

Grundsätzlich möchte der Code, der nach einem WANIPConnection- oder WANIPPPConnection-Diensttyp (ST: WANIPConnection / WANIPPPConnection) sucht, in den meisten Fällen eingehende Verbindungen herstellen. Dies ist bei P2P-Anwendungen und allen Arten von Anwendungen, die eingehende Verbindungen erfordern, üblich. Das gleiche tun auch Viren und Netbots.

Ein NAT-Computer benötigt eine Portweiterleitung, um erreichbar zu sein. Dies kann nur von innen erfolgen.

Ich weiß, dass dies ein alter Beitrag ist, aber nur, um meine Forschungen darüber zu teilen. Ich hatte den gleichen Satz von Paketen auch auf meinem Drahthai erfasst.

Ich hatte UPnP zunächst auf meinem Windows 7-Computer deaktiviert, dies half jedoch nicht. Danach habe ich diese verrauschten Pakete durch Deaktivieren von UPnP auf meinem Router entfernt.

Zu beachten ist, dass es sich bei dem Protokoll um SSDP handelt - das Simple Service Discovery Protocol (SSDP) ist ein auf der Internet Protocol Suite basierendes Netzwerkprotokoll zur Werbung und Erkennung von Netzwerkdiensten und Anwesenheitsinformationen. -Wikipedia

Was jeder wissen sollte, ist die IP-Adresse jedes Geräts in seinem persönlichen Netzwerk. Sie sollten also diese Art von Nachrichten in Wireshark anzeigen (solange sie in Ihrem Netzwerk verbleiben, gut), um herauszufinden, wie Ihr Nieghbor zu Ihrem gelangt ist Netzwerk, weil sein Gerät versucht, Ihr Gerät zu lokalisieren.

Es tut uns leid, diesen Beitrag stoßen zu müssen, aber ich sehe, dass er unbeantwortet blieb. Dieses Problem besteht immer noch unter Windows 7

Wenn Sie sowohl den SSDP-Erkennungsdienst als auch den universellen Plug & Play-Gerätehost deaktivieren, wird der gesamte SSDP-Verkehr nicht gestoppt. UDP-Port-1900-Verkehr (User Datagram Protocol) kann in Firewall- oder Paketfilter-Geräteprotokollen protokolliert werden. Wenn Sie den Datenverkehr verfolgen, werden im Datenabschnitt des Pakets die folgenden Informationen angezeigt:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager sendet SSDP-Pakete, verwendet SSDP nicht, erstellt jedoch die SSDP-Pakete und sendet sie selbst (es ist SSDP für sich). Sie müssten dies in der Registrierung deaktivieren.

Wichtig In diesem Abschnitt, in dieser Methode oder in dieser Aufgabe erfahren Sie, wie Sie die Registrierung ändern. Es können jedoch schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Sichern Sie für zusätzlichen Schutz die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt.

Konfigurieren Sie die Registrierung, um dieses Problem zu beheben, um die Erkennungsmeldungen zu deaktivieren: 1.Starten Sie den Registrierungseditor (Regedt32.exe). 2. Suchen Sie und klicken Sie auf den folgenden Schlüssel in der Registrierung: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3. Klicken Sie in dem Menü Bearbeiten auf Wert hinzufügen, und fügen Sie dann den folgenden Registrierungswert hinzu:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4.Schließen Sie den Registrierungseditor.

Ich habe gerade den UPnP-Dienst auf einem Windows 7-PC angehalten und deaktiviert und erhalte ihn weiterhin, damit er nicht von UPnP auf meinem PC stammt. Ich weiß, dass dieser Beitrag alt ist, wollte aber hinzufügen, dass es nicht unbedingt UPnP ist.