Mạng tràn ngập các gói M-SEARCH: có nghĩa là gì? [đóng cửa]

Tôi vừa kích hoạt Wireshark trên máy tính trong căn hộ của mình và tôi nhận thấy rằng một máy tính khác trong mạng của tòa nhà chung cư đang gửi rất nhiều HTTP qua các gói UDP (khoảng 18-20 mỗi giây ... có thể không phải là "lũ", nhưng rất nhiều) với dòng yêu cầu M-SEARCH * HTTP/1.1. Bây giờ, tôi không phải là quản trị viên mạng và tôi không kiểm soát được máy tính nào đang gửi các gói đó, vì vậy tôi đang điều tra việc này chỉ vì sự tò mò của riêng tôi.

Đây là thông tin của một gói thông thường được báo cáo bởi Wireshark:

--UDP--
Cổng nguồn: 50623
Cổng đích: ssdp (1900)
Chiều dài: 140
--HTTP--
Phương thức yêu cầu: M-TÌM KIẾM
Yêu cầu URI: *
Phiên bản yêu cầu: HTTP / 1.1
MX: 3 \ r \ n
GIỜ: 239.255.255.250:1900 \
MAN: "ssdp: khám phá" \ r \ n
ST: urn: schemas-upnp-org: dịch vụ: WANIPConnection: 1 \ r \ n

Tôi đã thực hiện một số Google và tìm thấy một liên kết cho thấy rằng điều này có thể liên quan đến Windows Messenger ; sự khác biệt duy nhất là trang web đó nói rằng mục tiêu tìm kiếm phải là urn:schemas-upnp-org:device:InternetGatewayDevice:1nhưng các gói tôi đang thấy có mục tiêu tìm kiếm là urn:schemas-upnp-org:device:WANIPConnection:1hoặc urn:schemas-upnp-org:device:WANPPPConnection:1.

Tôi cũng tìm thấy một liên kết khác cho thấy nó có thể liên quan đến sâu Downadup , nhưng trang web đó nói rằng sâu sẽ gửi các gói với bốn mục tiêu tìm kiếm khác nhau, cụ thể là hai mục tiêu tôi đang nhìn thấy urn:schemas-upnp-org:device:InternetGatewayDevice:1và upnp:rootdevice. Tôi không chắc liệu sự vắng mặt của hai mục tiêu tìm kiếm khác có cho thấy đây không phải là sâu Downadup hay không.

Và tôi đã tìm thấy một liên kết khác đề cập đến một cái gì đó để làm với Universal Plug-and-Play nhưng tôi thực sự không biết đủ về UPnP để diễn giải những gì họ đang nói về trang đó.

Có ai nhận ra tình huống này và có thể cho tôi biết những gì có thể đã xảy ra với máy tính khác không?

PS Ngẫu nhiên: kể từ khi tôi bắt đầu viết tin nhắn này, luồng gói dường như đã dừng lại.

Đây là những gói khám phá UPnP. Mục đích của họ là khám phá các thiết bị UPnP như bộ định tuyến gia đình hoặc máy chủ phương tiện. Ví dụ: Windows Live Messenger cố gắng khám phá bộ định tuyến gia đình phía sau nó được kết nối để tự động chuyển hướng một số cổng mạng.

Tỷ lệ là bất thường, mặc dù. Đó là điều bình thường để nhận được rất nhiều những gói tin trên mạng Ethernet lớn bởi vì họ thường được gửi đến địa chỉ quảng bá, nhưng nhận 18-20 mỗi giây từ một đơn máy tính là không bình thường.

Chỉ trong trường hợp người khác nhìn thấy các gói tương tự. Có, đây là các gói khám phá UPnP đang tìm kiếm bộ định tuyến IP. Nếu UPnP được bật trong bộ định tuyến của bạn, phần mềm muốn tìm nó có thể thêm ánh xạ cổng, xóa ánh xạ cổng, lấy địa chỉ IP bên ngoài (Ip của bộ định tuyến), v.v.

Về cơ bản, hầu hết các trường hợp, mã tìm kiếm Loại dịch vụ kết nối mạng WANIPConnection hoặc WANIPPPConnection (ST: WANIPConnection / WANIPPPConnection) muốn đạt được các kết nối gửi đến. Điều này là phổ biến cho các ứng dụng P2P và tất cả các loại ứng dụng yêu cầu kết nối trong nước. Ngoài ra virus và netbots cũng làm như vậy.

Một máy tính NATed yêu cầu chuyển tiếp cổng để có thể truy cập và điều đó chỉ có thể được thực hiện từ bên trong.

Tôi biết đây là một bài viết cũ nhưng chỉ để chia sẻ nghiên cứu của tôi trên cùng. Tôi cũng đã bắt được cùng một gói các gói trên dây dẫn của mình.

Ban đầu tôi đã tắt UPnP trên Máy Windows 7 của mình nhưng điều này không giúp được gì. Sau đó tôi đã loại bỏ các gói nhiễu này bằng cách vô hiệu hóa UPnP tại Bộ định tuyến của mình.

Điều cần tìm là giao thức đó là SSDP - Giao thức khám phá dịch vụ đơn giản (SSDP) là giao thức mạng dựa trên Bộ giao thức Internet để quảng cáo và khám phá các dịch vụ mạng và thông tin hiện diện. -Wikipedia

Những gì mọi người nên biết là địa chỉ IP của mọi thiết bị trên mạng cá nhân của họ ... vì vậy bạn sẽ thấy những loại tin nhắn này trong Wireshark (miễn là chúng vẫn nằm trong mạng của bạn, tốt) tìm hiểu cách thức nieghbor của bạn đến với bạn mạng, bởi vì thiết bị của anh ta đang cố gắng xác định vị trí thiết bị của bạn.

Xin lỗi để làm hỏng bài đăng này nhưng tôi thấy nó không được trả lời, vấn đề này vẫn tồn tại trên Windows 7

Nếu bạn tắt cả dịch vụ khám phá SSDP và Máy chủ lưu trữ thiết bị cắm và chạy chung, tất cả lưu lượng truy cập SSDP sẽ không bị dừng; Lưu lượng truy cập cổng giao thức gói dữ liệu người dùng (UDP) 1900 có thể được ghi vào nhật ký tường lửa hoặc nhật ký thiết bị lọc gói. Nếu bạn chạy theo dõi lưu lượng, thông tin sau sẽ được hiển thị trong phần dữ liệu của gói:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager gửi các gói SSDP, nó không sử dụng SSDP mà tạo các gói SSDP và tự gửi chúng, (chính nó là SSDP). Bạn sẽ phải vô hiệu hóa điều này trong sổ đăng ký.

Quan trọng Phần, phương thức hoặc tác vụ này chứa các bước cho bạn biết cách sửa đổi sổ đăng ký. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ thêm, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố.

Để giải quyết vấn đề này, hãy định cấu hình sổ đăng ký để tắt các thông báo khám phá: 1.Start Registry Editor (Regedt32.exe). 2.Locate và nhấp vào khóa sau trong sổ đăng ký: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3. Trên menu Chỉnh sửa , bấm Thêm Giá trị , rồi thêm giá trị đăng ký sau:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4. Trình chỉnh sửa đăng ký.

Tôi vừa dừng và vô hiệu hóa dịch vụ UPnP trên PC Windows 7 và tôi vẫn nhận được những thứ này để nó không đến từ UPnP trên PC của tôi. Tôi biết bài đăng này đã cũ nhưng muốn thêm rằng nó không nhất thiết phải là UPnP.