web-dev-qa-db-ja.com

M-SEARCHパケットが殺到したネットワーク:どういう意味ですか?

アパートの自分のコンピューターでWiresharkを起動したところ、アパートの建物のネットワーク上の別のコンピューターが大量のHTTP over UDPパケットを送信していることに気付きました(1秒あたり約18〜20個...「フラッド」ではないかもしれませんが、たくさん)リクエストラインM-SEARCH * HTTP/1.1。現在、私はネットワーク管理者ではありません。また、これらのパケットを送信しているコンピューターを制御することはできません。そのため、私は自分の好奇心のためだけに調査しています。

Wiresharkによって報告された一般的なパケットの情報は次のとおりです。

--UDP-
送信元ポート:50623 
宛先ポート:ssdp(1900)
長さ:140 
-HTTP-
リクエストメソッド:M-SEARCH 
リクエストURI:* 
リクエストバージョン:HTTP/1.1 
 MX:3\r\n 
ホスト:239.255.255.250:1900\r\n 
 MAN: "ssdp:discover"\r\n 
 ST:urn:schemas-upnp-org:service:WANIPConnection:1\r\n

私はグーグルをいくつか行い、これ がWindows Messengerに関連している可能性があることを示唆するリンクを見つけました ;唯一の違いは、Webページに検索ターゲットはurn:schemas-upnp-org:device:InternetGatewayDevice:1である必要があるとありますが、表示されているパケットの検索ターゲットはurn:schemas-upnp-org:device:WANIPConnection:1またはurn:schemas-upnp-org:device:WANPPPConnection:1です。

私はまた、 Downadupワームに関連している可能性があることを示唆する別のリンクを見つけました が、そのWebページには、ワームは4つの異なる検索ターゲット、つまり2つのurn:schemas-upnp-org:device:InternetGatewayDevice:1upnp:rootdeviceも表示されています。他の2つの検索ターゲットが存在しないことが、これがDownadupワームではないことを示しているかどうかはわかりません。

そして、私は ユニバーサルプラグアンドプレイ と関係があることを言及するさらに別のリンクを見つけましたが、彼らがそれについて話していることを解釈するためにUPnPについて十分に知りませんページ。

誰かがこの状況を認識していて、他のコンピュータで何が起こっていたのか教えてもらえますか?

追伸ちなみに、このメッセージを書き始めてから、パケットストリームが停止したようです。

20
David Z

これらはUPnP検出パケットです。その目的は、ホームルーターやメディアサーバーなどのUPnPデバイスを検出することです。たとえば、Windows Live Messengerは、一部のネットワークポートを自動的にリダイレクトするために、接続されているホームルーターを検出しようとします。

率は異常ですが。これらのパケットは通常ブロードキャストアドレスに送信されるため、大規模なイーサネットネットワークでこれらのパケットを大量に受信するのは正常ですが、singleコンピュータから毎秒18-20を受信するのは異常です。

15

誰かが同じパケットを見る場合に備えて。はい、これらはIPルーターを検索するUPnP検出パケットです。ルーターでUPnPが有効になっている場合、それを検索するソフトウェアは、ポートマッピングの追加、ポートマッピングの削除、外部IPアドレス(ルーターIP)の取得などを行うことができます。

基本的に、ほとんどの場合、WANIPConnectionまたはWANIPPPConnectionサービスタイプ(ST:WANIPConnection/WANIPPPConnection)を検索するコードは、インバウンド接続を実現する必要があります。これは、P2Pアプリケーションと、インバウンド接続を必要とするあらゆる種類のアプリケーションに共通です。ウイルスとネットボットも同じです。

NAT処理されたコンピューターでは、ポート転送が到達可能である必要があり、これは内部からのみ実行できます。

3
lontivero

私はこれが古い記事であることを知っていますが、同じことについて私の研究を共有します。私も自分のwiresharkで同じパケットのセットをキャプチャしました。

最初はWindows 7マシンでUPnPを無効にしていましたが、これは役に立ちませんでした。その後、ルーターでUPnPを無効にすることで、これらのノイズの多いパケットを取り除きました。

3

探しているのは、プロトコルがSSDPであることです。Simple Service Discovery Protocol(SSDP)は、ネットワークサービスとプレゼンス情報のアドバタイズと検出のためのインターネットプロトコルスイートに基づくネットワークプロトコルです。 -Wikipedia

誰もが知っておくべきことは、パーソナルネットワーク上のすべての機器のIPアドレスです。そのため、Wiresharkでこれらの種類のメッセージを確認する必要があります(ネットワーク内に留まっている限り)。彼の装置があなたの装置を見つけようとしているので、ネットワーク。

2
jasahasch

この投稿をバンプして申し訳ありませんが、それは答えられなかったと思います、この問題はまだWindows 7に存在します

SSDP検出サービスとユニバーサルプラグアンドプレイデバイスホストの両方をオフにしても、すべてのSSDPトラフィックが停止するわけではありません。ユーザーデータグラムプロトコル(UDP)ポート1900のトラフィックは、ファイアウォールログまたはパケットフィルタリングデバイスログに記録される場合があります。トラフィックのトレースを実行すると、パケットのデータセクションに次の情報が表示されます。

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows MessagerはSSDPパケットを送信します。SSDPは使用しませんが、SSDPパケットを作成してそれ自体を送信します(それ自体がSSDPです)。レジストリでこれを無効にする必要があります。

重要このセクション、方法、またはタスクには、レジストリの変更方法が記載されていますが、レジストリを変更すると深刻な問題が発生する可能性があります正しくありません。したがって、これらの手順を慎重に実行してください。保護を強化するには、変更する前にレジストリをバックアップします。その後、問題が発生した場合にレジストリを復元できます。

この問題を解決するには、検出メッセージをオフにするようにレジストリを構成します。1.レジストリエディタ(Regedt32.exe)を起動します。 2.レジストリで次のキーを見つけてクリックします。HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlayNATHelp\DPNHUPnP

3. 編集メニューで値の追加をクリックし、次のレジストリ値を追加します。

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

レジストリエディタを終了します。

2
Josh

Windows 7 PCでUPnPサービスを停止して無効にしただけですが、これらは引き続き取得されるため、私のPCのUPnPからは送信されません。私はこの投稿が古いことを知っていますが、必ずしもUPnPではないことを付け加えたいと思います。

1
Ian