Я только что запустил Wireshark на своем компьютере в своей квартире и заметил, что другой компьютер в сети многоквартирного дома отправлял много HTTP-пакетов через UDP (около 18-20 в секунду ... может быть, не «флуд», но много) со строкой запроса M-SEARCH * HTTP/1.1
. Я не являюсь сетевым администратором и не могу контролировать, какой компьютер отправляет эти пакеты, поэтому я исследую это просто из собственного любопытства.
Вот информация о типичном пакете, сообщенная Wireshark:
--UDP-- Source port: 50623 Destination port: ssdp (1900) Length: 140 --HTTP-- Request Method: M-SEARCH Request URI: * Request Version: HTTP/1.1 MX: 3\r\n HOST: 239.255.255.250:1900\r\n MAN: "ssdp:discover"\r\n ST: urn:schemas-upnp-org:service:WANIPConnection:1\r\n
Я немного погуглил и нашел ссылку, предполагающую, что это может быть связано с Windows Messenger; единственная разница в том, что на этой веб-странице указано, что цель поиска должна быть urn:schemas-upnp-org:device:InternetGatewayDevice:1
но пакеты, которые я вижу, имеют цель поиска urn:schemas-upnp-org:device:WANIPConnection:1
или urn:schemas-upnp-org:device:WANPPPConnection:1
.
Я также нашел другую ссылку, предполагающую, что это может быть связано с червем Downadup, но на этой веб-странице говорится, что червь должен рассылать пакеты с четырьмя разными целями поиска, а именно двумя, которые я вижу, а также urn:schemas-upnp-org:device:InternetGatewayDevice:1
и upnp:rootdevice
. Я не уверен, указывает ли отсутствие двух других целей поиска на то, что это не червь Downadup.
И я нашел еще одну ссылку, в которой упоминается что-то связанное с Universal Plug-and-Play но я действительно недостаточно знаю о UPnP, чтобы интерпретировать то, о чем они говорят на этой странице.
Кто-нибудь осознает эту ситуацию и может сказать мне, что могло происходить с этим другим компьютером?
P.S. Между прочим: с тех пор, как я начал писать это сообщение, поток пакетов вроде бы остановился.
Это пакеты обнаружения UPnP. Их цель - обнаруживать устройства UPnP, такие как домашние маршрутизаторы или медиа-серверы. Например, Windows Live Messenger пытается обнаружить домашний маршрутизатор, к которому он подключен, чтобы автоматически перенаправить некоторые сетевые порты.
Но скорость необычная. Получение большого количества этих пакетов в большой сети Ethernet является нормальным, потому что они обычно отправляются на широковещательный адрес, но получают 18-20 в секунду от не замужем компьютер неисправен.
На всякий случай кто-то другой увидит такие же пакеты. Да, это пакеты обнаружения UPnP для поиска IP-маршрутизатора. Если на вашем маршрутизаторе включен UPnP, программное обеспечение, которое хочет его найти, может добавлять сопоставления портов, удалять сопоставления портов, получать внешний IP-адрес (IP-адрес маршрутизатора) и т. Д.
По сути, в большинстве случаев код, ищущий тип службы WANIPConnection или WANIPPPConnection (ST: WANIPConnection / WANIPPPConnection), хочет установить входящие соединения. Это характерно для приложений P2P и всех видов приложений, требующих входящего соединения. То же самое делают и вирусы и сетевые боты.
Компьютер с NAT требует, чтобы переадресация портов была достижимой, а это можно сделать только изнутри.
Я знаю, что это старый пост, но я просто хочу поделиться своим исследованием. Я захватил тот же набор пакетов на моем wirehark.
Я изначально отключил UPnP на моем компьютере с Windows 7, но это не помогло. После чего я избавился от этих шумных пакетов, отключив UPnP на моем маршрутизаторе.
Что нужно искать, так это то, что протокол SSDP - Simple Service Discovery Protocol (SSDP) - это сетевой протокол, основанный на Internet Protocol Suite, для рекламы и обнаружения сетевых услуг и информации о присутствии. -Википедия
Что каждый должен знать, так это IP-адрес каждой единицы оборудования в своей личной сети ... поэтому вы должны видеть такие сообщения в Wireshark (пока они остаются в вашей сети, хорошо), узнайте, как ваш nieghbor попал в ваш сеть, потому что его оборудование пытается определить местонахождение вашего оборудования.
Извините, что ударил этот пост, но я вижу, что он остался без ответа, эта проблема все еще существует в Windows 7
Если вы отключите и службу обнаружения SSDP, и универсальный узел устройств Plug and Play, весь трафик SSDP не будет остановлен; Трафик порта 1900 протокола дейтаграмм пользователя (UDP) может регистрироваться в журналах межсетевого экрана или в журналах устройства фильтрации пакетов. Если вы запустите трассировку трафика, в разделе данных пакета отобразится следующая информация:
SSDP: Method = M-SEARCH
SSDP: Uniform Resource Identifier = *
SSDP: HTTP Protocol Version = HTTP/1.1
SSDP: Host = 239.255.255.250:1900
SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
SSDP: Mandatory Extension = "ssdp:discover"
SSDP: Maximum Wait = 3
Windows Messager отправляет пакеты SSDP, он не использует SSDP, но создает пакеты SSDP и отправляет их сам (это SSDP сам по себе). Вам придется отключить это в реестре.
Важный Этот раздел, метод или задача содержат шаги, которые говорят вам, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр в случае возникновения проблемы.
Чтобы решить эту проблему, настройте реестр на отключение сообщений об обнаружении: 1. Запустите редактор реестра (Regedt32.exe). 2. Найдите и щелкните следующий раздел в реестре: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP
3. на редактировать меню, щелкните Добавить значение, а затем добавьте следующий параметр реестра:
Value name: UPnPMode
Data type: REG_DWORD
Value data: 2
4. Закройте редактор реестра.
Я просто остановил и отключил службу UPnP на ПК с Windows 7, но все еще получаю их, так что они не поступают из UPnP на моем ПК. Я знаю, что этот пост старый, но хотел добавить, что это не обязательно UPnP.