Сеть залита пакетами M-SEARCH: что это значит? [закрыто]

Я просто запустил Wireshark на своем компьютере в своей квартире и заметил, что другой компьютер в сети многоквартирного дома отправлял много HTTP-пакетов по UDP (примерно 18-20 в секунду ... может быть, не "поток", но много) со строкой запроса M-SEARCH * HTTP/1.1. Я не являюсь сетевым администратором и не могу контролировать, какой компьютер отправляет эти пакеты, поэтому я исследую это просто для собственного любопытства.

Вот информация о типичном пакете, как сообщает Wireshark:

--UDP--
Исходный порт: 50623
Порт назначения: ssdp (1900)
Длина: 140
--HTTP--
Способ запроса: M-SEARCH
URI запроса: *
Версия запроса: HTTP / 1.1
MX: 3 \ r \ n
ВЕДУЩИЙ: 239.255.255.250:1900\r\n
ЧЕЛОВЕК: "ssdp: обнаружить" \ r \ n
ST: urn: schemas-upnp-org: служба: WANIPСоединение: 1 \ r \ n

Я немного погуглил и нашел ссылку, предполагающую, что это может быть связано с Windows Messenger ; единственное отличие состоит в том, что на этой веб-странице указано, что цель поиска должна быть, urn:schemas-upnp-org:device:InternetGatewayDevice:1но у пакетов, которые я вижу, есть цель поиска urn:schemas-upnp-org:device:WANIPConnection:1или urn:schemas-upnp-org:device:WANPPPConnection:1.

Я также нашел другую ссылку, предполагающую, что он может быть связан с червем Downadup , но на этой веб-странице сказано, что червь должен отправлять пакеты с четырьмя различными целями поиска, а именно с двумя, которые я вижу, а также urn:schemas-upnp-org:device:InternetGatewayDevice:1и upnp:rootdevice. Я не уверен, указывают ли отсутствие двух других целей поиска, что это не червь Downadup.

И я нашел еще одну ссылку, в которой упоминается что-то связанное с Universal Plug-and-Play, но я действительно недостаточно знаю о UPnP, чтобы интерпретировать то, о чем они говорят на этой странице.

Кто-нибудь узнает эту ситуацию и может сказать мне, что могло происходить с этим другим компьютером?

PS Кстати: с тех пор, как я начал писать это сообщение, поток пакетов, похоже, прекратился.

Это пакеты обнаружения UPnP. Их целью является обнаружение устройств UPnP, таких как домашние маршрутизаторы или медиа-серверы. Например, Windows Live Messenger пытается обнаружить домашний маршрутизатор, к которому он подключен, для автоматического перенаправления некоторых сетевых портов.

Скорость необычная, хотя. Обычно большая часть этих пакетов принимается в большой сети Ethernet, поскольку они обычно отправляются на широковещательный адрес, но получение 18-20 в секунду с одного компьютера является ненормальным.

На всякий случай, если кто-то еще увидит те же пакеты. Да, это пакеты обнаружения UPnP, которые ищут IP-маршрутизатор. Если на вашем маршрутизаторе включена функция UPnP, то программное обеспечение, которое хочет найти его, может добавить сопоставления портов, удалить сопоставления портов, получить внешний IP-адрес (IP-адрес маршрутизатора) и т. Д.

Как правило, в большинстве случаев код, ищущий тип сервиса WANIPConnection или WANIPPPConnection (ST: WANIPConnection / WANIPPPConnection), хочет установить входящие соединения. Это распространено для приложений P2P и всех видов приложений, которым требуется входящее соединение. Также вирусы и сетевые роботы делают то же самое.

Для компьютера с NAT требуется переадресация портов, и это можно сделать только изнутри.

Я знаю, что это старый пост, но я просто хочу поделиться с ним своими исследованиями. Я также захватил тот же набор пакетов на моем wireshark.

Сначала я отключил UPnP на своем компьютере с Windows 7, но это не помогло. После чего я избавился от этих шумных пакетов, отключив UPnP на моем маршрутизаторе.

Что нужно искать, так это то, что этот протокол является SSDP - Простой протокол обнаружения услуг (SSDP) - это сетевой протокол, основанный на наборе пакетов Интернет-протокола, для объявления и обнаружения сетевых служб и информации о присутствии. -Wikipedia

То, что каждый должен знать, это IP-адрес каждого оборудования в их личной сети ... так что вы должны видеть такие сообщения в Wireshark (пока они остаются в вашей сети, хорошо), узнать, как ваш nieghbor дошел до вашего сеть, потому что его оборудование пытается найти ваше оборудование.

Извините, что поднял этот пост, но я вижу, что он остался без ответа, эта проблема все еще существует в Windows 7

Если вы отключите и службу обнаружения SSDP, и хост Universal Plug and Play Device, весь трафик SSDP не будет остановлен; Трафик порта 1900 протокола пользовательских дейтаграмм (UDP) может регистрироваться в журналах брандмауэра или журналах устройства фильтрации пакетов. Если вы выполняете трассировку трафика, в разделе данных пакета отображается следующая информация:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager отправляет пакеты SSDP, он не использует SSDP, но создает пакеты SSDP и отправляет их сам (это SSDP сам по себе). Вы должны отключить это в реестре.

Внимание! В этом разделе, методе или задаче содержатся шаги, в которых рассказывается, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра, прежде чем изменять его. Затем вы можете восстановить реестр, если возникнет проблема.

Чтобы решить эту проблему, настройте реестр на отключение сообщений об обнаружении: 1. Запустите редактор реестра (Regedt32.exe). 2. Найдите и щелкните следующий ключ в реестре: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3.В меню « Правка» выберите « Добавить значение» , а затем добавьте следующее значение реестра:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

Редактор реестра 4.Quit.

Я просто остановил и отключил службу UPnP на ПК с Windows 7, и я все еще получаю ее, чтобы она не приходила от UPnP на моем ПК. Я знаю, что этот пост старый, но хотел добавить, что это не обязательно UPnP.