Мережа затоплена пакетами M-SEARCH: що це означає? [зачинено]

Я щойно запустив Wireshark на своєму комп’ютері у своїй квартирі, і я помітив, що інший комп’ютер у мережі багатоквартирного будинку надсилає багато HTTP через пакети UDP (близько 18-20 за секунду ... можливо, це не "повінь", але багато) з рядком запиту M-SEARCH * HTTP/1.1. Тепер я не адміністратор мережі, і не маю контролю над тим, який комп'ютер надсилає ці пакети, тому я розслідую це лише для власної цікавості.

Ось інформація про типовий пакет, про який повідомляє Wireshark:

--UDP--
Порт джерела: 50623
Порт призначення: ssdp (1900)
Довжина: 140
--HTTP--
Метод запиту: М-ПОШУК
Запит URI: *
Версія запиту: HTTP / 1.1
MX: 3 \ r \ n
ХОСТ: 239.255.255.250:1900\r\n
МАН: "ssdp: виявити" \ r \ n
ST: urn: schemas-upnp-org: service: WANIPЗ'єднання: 1 \ r \ n

Я зробив деякий Googling і знайшов посилання, що припускає, що це може бути пов’язане з Windows Messenger ; Єдина відмінність полягає в тому, що на цій веб-сторінці сказано, що ціль пошуку має бути, urn:schemas-upnp-org:device:InternetGatewayDevice:1але пакети, які я бачу, мають ціль пошуку urn:schemas-upnp-org:device:WANIPConnection:1або urn:schemas-upnp-org:device:WANPPPConnection:1.

Я також знайшов ще одне посилання, що припускає, що це може бути пов'язано з черв'яком Downadup , але на цій веб-сторінці написано, що черв'як повинен надсилати пакети з чотирма різними цілями пошуку, а саме двома, які я бачу, а також urn:schemas-upnp-org:device:InternetGatewayDevice:1і upnp:rootdevice. Я не впевнений, чи відсутність двох інших пошукових цілей свідчить про те, що це не черв'як Downadup.

І я знайшов ще одне посилання, в якому згадується щось спільне з Universal Plug-and-Play, але я дійсно не знаю достатньо про UPnP, щоб інтерпретувати те, про що вони говорять на цій сторінці.

Хтось визнає цю ситуацію і може сказати мені, що могло статися з цим іншим комп'ютером?

PS Між іншим: після того, як я почав писати це повідомлення, потік пакетів, схоже, зупинився.

Це пакети виявлення UPnP. Їх мета - виявити пристрої UPnP, наприклад домашні маршрутизатори або медіа-сервери. Наприклад, Windows Live Messenger намагається виявити домашній маршрутизатор, за яким він підключений, щоб автоматично перенаправляти деякі мережеві порти.

Хоча швидкість незвична. Нормально отримувати багато цих пакетів у великій мережі Ethernet, оскільки вони зазвичай надсилаються на широкомовні адреси, але отримання 18-20 в секунду від одного комп’ютера ненормальне.

Про всяк випадок, якщо хтось ще побачить ті самі пакети. Так, це пакети виявлення UPnP, які шукають маршрутизатор IP. Якщо у вашому маршрутизаторі включено UPnP, програмне забезпечення, яке хоче його знайти, може додавати відображення портів, видаляти відображення портів, отримувати зовнішню ip-адресу (Ip маршрутизатора) тощо.

В основному, в більшості випадків код, який шукає WANIPConnection або WANIPPPConnection Service Service (ST: WANIPConnection / WANIPPPConnection), хоче досягти вхідних з'єднань. Це властиво для програм P2P та всіх програм, для яких потрібне вхідне з'єднання. Також віруси та мережеві роботи роблять те ж саме.

Комп'ютер NATED вимагає, щоб переадресація портів була доступною, і це можна зробити тільки зсередини.

Я знаю, що це старий пост, але я просто поділюсь своїми дослідженнями на тому ж самому. Я захопив той самий набір пакетів і на моєму проводці.

Спочатку я відключив UPnP на своїй машині Windows 7, але це не допомогло. Після цього я позбувся цих шумних пакетів, відключивши UPnP на своєму маршрутизаторі.

На що слід звернути увагу, це те, що протокол є SSDP - Простий протокол виявлення послуги (SSDP) - це мережевий протокол, заснований на пакеті Internet Protocol Suite для реклами та виявлення мережевих служб та інформації про присутність. -Вікіпедія

Що кожен повинен знати, це IP-адреса кожного обладнання в їхній персональній мережі ... тож ви повинні бачити такі види повідомлень у Wireshark (доки вони залишаються у вашій мережі, добре), щоб дізнатися, як ваш ближній дістався до вашого мережа, оскільки його обладнання намагається знайти ваше обладнання.

Вибачте, що натиснув цю публікацію, але я бачу, що вона залишилася без відповіді, ця проблема все ще існує в Windows 7

Якщо ви вимкнете службу виявлення SSDP та хост Universal Plug and Play Device, весь трафік SSDP не припиняється; Трафік 1900 порту протоколу User Datagram (UDP) може реєструватися в журналах брандмауера або журналах пристроїв фільтрації пакетів. Якщо ви простежите трафік трафіку, у розділі даних пакета відображається така інформація:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager надсилає пакети SSDP, він не використовує SSDP, але створює пакети SSDP і сам надсилає їх (це SSDP самостійно). Вам доведеться вимкнути це в реєстрі.

Важливо Цей розділ, метод чи завдання містять кроки, які розповідають, як змінити реєстр. Однак можуть виникнути серйозні проблеми, якщо ви неправильно змінили реєстр. Тому переконайтеся, що ви ретельно виконуєте ці кроки. Для додаткового захисту створіть резервну копію реєстру, перш ніж змінювати його. Потім ви можете відновити реєстр, якщо виникає проблема.

Щоб вирішити цю проблему, налаштуйте реєстр, щоб вимкнути повідомлення про виявлення: 1.Запустіть редактор реєстру (Regedt32.exe). 2.Знайдіть та натисніть наступну клавішу в реєстрі: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3.За меню « Редагування » натисніть « Додати значення» та додайте таке значення реєстру:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4.Запитання редактора реєстру.

Щойно я зупинив і відключив службу UPnP на ПК з Windows 7, і я все ще отримую їх, щоб він не надходив з UPnP на моєму ПК. Я знаю, що ця публікація стара, але хотів додати, що це не обов'язково UPnP.