Ağ M-SEARCH paketleriyle dolup taştı: bu ne anlama geliyor? [kapalı]

Wireshark'ı dairemdeki bilgisayarıma ateşledim ve apartmanın ağındaki başka bir bilgisayarın UDP paketleri üzerinden çok fazla HTTP gönderdiğini fark ettim (saniyede yaklaşık 18-20 ... belki bir "sel" değil, ama çok) istek satırı ile M-SEARCH * HTTP/1.1. Şimdi, ağ yöneticisi değilim ve hangi bilgisayarların bu paketleri gönderdiğini kontrol edemiyorum, bu yüzden bunu sadece kendi merakım için araştırıyorum.

Wireshark tarafından bildirilen tipik bir paketin bilgileri:

--UDP--
Kaynak bağlantı noktası: 50623
Varış noktası: ssdp (1900)
Uzunluk: 140
--HTTP--
İstek Yöntemi: M-SEARCH
URI isteyin: *
İstek Sürümü: HTTP / 1.1
MX: 3 \ r \ n
EV SAHİBİ: 239.255.255.250:1900
ADAM: "ssdp: keşfet" \ r \ n
ST: urn: schemas-upnp-org: service: WANIPBağlantı: 1 \ r \ n

Bazı Google çalışmaları yaptım ve bunun Windows Messenger ile ilgili olabileceğini gösteren bir bağlantı buldum ; tek fark, o web sayfasının arama hedefinin olması gerektiğini söylüyor urn:schemas-upnp-org:device:InternetGatewayDevice:1ama gördüğüm paketlerin bir arama hedefi urn:schemas-upnp-org:device:WANIPConnection:1veya urn:schemas-upnp-org:device:WANPPPConnection:1.

Ben de başka bağlantı da öne süren bulundu Downadup solucan ile ilgili olabilir , ama bu web sayfası solucan dört farklı arama hedefleri, yani iki Ben yanı sıra görüyorum paketleri göndererek gerektiğini söyler urn:schemas-upnp-org:device:InternetGatewayDevice:1ve upnp:rootdevice. Diğer iki arama hedefinin yokluğunun bunun Downadup solucanı olmadığını gösterip göstermediğinden emin değilim.

Universal Plug-and-Play ile ilgili bir şeyden bahseden başka bir bağlantı buldum, ancak UPnP hakkında o sayfada ne hakkında konuştuklarını yorumlamak için yeterince bilgim yok.

Herkes bu durumu tanıyor mu ve bana o diğer bilgisayarda neler olup bittiğini söyleyebilir mi?

PS Bu arada: Bu mesajı yazmaya başladığımdan beri, paket akışı durmuş gibi görünüyor.

Bunlar UPnP keşif paketleri. Amaçları, ev yönlendiricileri veya medya sunucuları gibi UPnP cihazlarını keşfetmektir. Örneğin, Windows Live Messenger, bazı ağ bağlantı noktalarını otomatik olarak yeniden yönlendirmek için, bağlı olduğu ev yönlendiricisini bulmaya çalışır.

Ancak oranı olağandışıdır. Bu paketlerin çoğunu büyük bir Ethernet ağında almak normaldir çünkü genellikle yayın adresine gönderilir, ancak tek bir bilgisayardan saniyede 18-20 almak anormaldir.

Bir başkasının aynı paketleri görmesi durumunda. Evet, bunlar bir IP yönlendirici arayan UPnP keşif paketleri. Yönlendiricinizde UPnP etkinse, bulmak isteyen yazılım bağlantı noktası eşlemeleri ekleyebilir, bağlantı noktası eşlemelerini silebilir, harici ip adresini (yönlendirici Ip) vb. Alabilir.

Temel olarak, çoğu zaman, bir WANIPConnection veya WANIPPPConnection Hizmet Türü (ST: WANIPConnection / WANIPPPConnection) arayan kod, gelen bağlantılara ulaşmak ister. Bu, P2P uygulamaları ve gelen bağlantı gerektiren her türlü uygulama için yaygındır. Ayrıca virüsler ve netbotlar da aynı şeyi yapar.

NATed bilgisayar, port yönlendirmenin erişilebilir olmasını gerektirir ve bu sadece içeriden yapılabilir.

Bunun eski bir yazı olduğunu biliyorum ama sadece araştırmamı aynı şekilde paylaşmak için. Aynı paketi wireshark'ımda da yakalamıştım.

Başlangıçta Windows 7 Makinemde UPnP'yi devre dışı bırakmıştım ama bu yardımcı olmadı. Bundan sonra Yönlendiricimde UPnP'yi devre dışı bırakarak bu gürültülü paketlerden kurtuldum.

Araması gereken, protokolün SSDP olduğu - Basit Hizmet Bulma Protokolü (SSDP), ağ hizmetlerinin ve varlık bilgilerinin reklam ve keşfi için İnternet Protokolü Paketi'ne dayanan bir ağ protokolüdür. -Wikipedia

Herkesin bilmesi gereken şey, kişisel ağlarındaki her ekipmanın IP adresidir ... bu nedenle, bu tür mesajları Wireshark'ta görmelisiniz (ağınızda kaldığı sürece, iyi) nieghbor'unuzun Çünkü ekipmanı ekipmanınızı bulmaya çalışıyor.

Bu gönderiyi çıkardığım için üzgünüm, ancak yanıtlanmadığını görüyorum, bu sorun Windows 7'de hala mevcut

Hem SSDP bulma hizmetini hem de Evrensel Tak ve Kullan Aygıt Ana Bilgisayarını kapatırsanız, tüm SSDP trafiği durdurulmaz; Kullanıcı Datagram Protokolü (UDP) bağlantı noktası 1900 trafiği, güvenlik duvarı günlüklerine veya paket filtreleme aygıtı günlüklerine kaydedilebilir. Trafiğin bir izini çalıştırırsanız, paketin veri bölümünde aşağıdaki bilgiler görüntülenir:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager SSDP paketleri gönderiyor, SSDP kullanmıyor, ancak SSDP paketleri oluşturuyor ve bunları kendisi gönderiyor (kendi başına SSDP). Bunu kayıt defterinde devre dışı bırakmanız gerekir.

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımlar içermektedir. Ancak, kayıt defterini hatalı olarak değiştirirseniz ciddi sorunlar oluşabilir. Bu nedenle, bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedekleyin. Daha sonra, bir sorun oluşursa kayıt defterini geri yükleyebilirsiniz.

Bu sorunu gidermek için <a0> </a0>, bulma iletilerini kapatmak için kayıt defterini yapılandırın: 1. Kayıt Defteri Düzenleyicisi'ni (Regedt32.exe) başlatın. Kayıt defterinde aşağıdaki anahtarı bulun ve tıklatın: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3.Yazılım Düzen menüsünden, tıklayın Ekle değer ve sonra da aşağıdaki kayıt defteri değerini ekleyin:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4.Kayıt Kayıt Defteri Düzenleyicisi.

Windows 7 PC'de UPnP hizmetini durdurdum ve devre dışı bıraktım ve hala bunları alıyorum, bu yüzden PC'imdeki UPnP'den gelmiyor. Bu yazının eski olduğunu biliyorum ama mutlaka UPnP olmadığını eklemek istedim.