Réseau inondé de paquets M-SEARCH: qu'est-ce que cela signifie? [fermé]


20

Je viens de lancer Wireshark sur mon ordinateur dans mon appartement et j'ai remarqué qu'un autre ordinateur sur le réseau de l'immeuble envoyait beaucoup de paquets HTTP sur UDP (environ 18-20 par seconde ... peut-être pas une "inondation", mais beaucoup) avec la ligne de demande M-SEARCH * HTTP/1.1. Maintenant, je ne suis pas l'administrateur réseau, et je n'ai aucun contrôle sur l'ordinateur qui envoie ces paquets, donc j'étudie cela simplement pour ma propre curiosité.

Voici les informations d'un paquet typique tel que rapporté par Wireshark:

--UDP--
Port source: 50623
Port de destination: ssdp (1900)
Longueur: 140
--HTTP--
Méthode de demande: M-SEARCH
URI de demande: *
Version de la demande: HTTP / 1.1
MX: 3 \ r \ n
HÔTE: 239.255.255.250:1900\r\n
MAN: "ssdp: découvrir" \ r \ n
ST: urn: schemas-upnp-org: service: WANIPConnexion: 1 \ r \ n

J'ai fait quelques recherches sur Google et trouvé un lien suggérant que cela pourrait être lié à Windows Messenger ; la seule différence est que cette page Web indique que la cible de recherche devrait être, urn:schemas-upnp-org:device:InternetGatewayDevice:1mais les paquets que je vois ont une cible de recherche de urn:schemas-upnp-org:device:WANIPConnection:1ou urn:schemas-upnp-org:device:WANPPPConnection:1.

J'ai également trouvé un autre lien suggérant qu'il pourrait être lié au ver Downadup , mais cette page Web indique que le ver devrait envoyer des paquets avec quatre cibles de recherche différentes, à savoir les deux que je vois ainsi que urn:schemas-upnp-org:device:InternetGatewayDevice:1et upnp:rootdevice. Je ne sais pas si l'absence des deux autres cibles de recherche indique que ce n'est pas le ver Downadup.

Et j'ai trouvé un autre lien qui mentionne quelque chose à voir avec Universal Plug-and-Play, mais je ne connais vraiment pas assez l'UPnP pour interpréter ce dont ils parlent sur cette page.

Est-ce que quelqu'un reconnaît cette situation et peut me dire ce qui aurait pu se passer avec cet autre ordinateur?

PS Incidemment: depuis que j'ai commencé à écrire ce message, le flux de paquets semble s'être arrêté.

Réponses:


15

Ce sont des paquets de découverte UPnP. Leur but est de découvrir des périphériques UPnP comme les routeurs domestiques ou les serveurs multimédias. Par exemple, Windows Live Messenger essaie de découvrir le routeur domestique derrière lequel il est connecté afin de rediriger automatiquement certains ports réseau.

Le taux est cependant inhabituel. Il est normal de recevoir un grand nombre de ces paquets sur un grand réseau Ethernet car ils sont généralement envoyés à l'adresse de diffusion, mais la réception de 18 à 20 par seconde à partir d'un seul ordinateur est anormale.


Bon à savoir ... Je pensais que c'était quelque chose comme ça, mais merci d'avoir confirmé. Aucune spéculation quant à la cause, cependant? (Virus / ver ou activité Messenger pseudo-normale?)
David Z

3

Juste au cas où quelqu'un d'autre verrait les mêmes paquets. Oui, ce sont des paquets de découverte UPnP à la recherche d'un routeur IP. Si UPnP est activé sur votre routeur, le logiciel qui veut le trouver peut ajouter des mappages de ports, supprimer des mappages de ports, obtenir l'adresse IP externe (le routeur Ip), etc.

Fondamentalement, la plupart du temps, le code recherchant un type de service WANIPConnection ou WANIPPPConnection (ST: WANIPConnection / WANIPPPConnection) souhaite établir des connexions entrantes. Ceci est courant pour les applications P2P et toutes sortes d'applications qui nécessitent une connexion entrante. Les virus et les netbots font de même.

Un ordinateur NAT nécessite que la redirection de port soit accessible et cela ne peut être fait que de l'intérieur.


3

Je sais que c'est un ancien poste mais juste pour partager mes recherches sur le même sujet. J'avais également capturé le même ensemble de paquets sur mon wirehark.

J'avais initialement désactivé UPnP sur ma machine Windows 7 mais cela n'a pas aidé. Après quoi je me suis débarrassé de ces paquets bruyants en désactivant UPnP sur mon routeur.


2

Ce qu'il faut rechercher, c'est que le protocole est SSDP - le Simple Service Discovery Protocol (SSDP) est un protocole réseau basé sur Internet Protocol Suite pour la publicité et la découverte des services réseau et des informations de présence. -Wikipédia

Ce que tout le monde devrait savoir, c'est l'adresse IP de chaque équipement sur son réseau personnel ... vous devriez donc voir ce genre de messages dans Wireshark (tant qu'ils restent dans votre réseau, bien) découvrez comment votre Nieghbor est arrivé à votre réseau, car son équipement tente de localiser votre équipement.


2

Désolé de bump ce post mais je vois qu'il est resté sans réponse, ce problème existe toujours sur Windows 7

Si vous désactivez le service de découverte SSDP et l'hôte de périphérique Universal Plug and Play, tout le trafic SSDP n'est pas arrêté; Le trafic du port UDP (User Datagram Protocol) 1900 peut être enregistré dans les journaux du pare-feu ou les journaux des périphériques de filtrage des paquets. Si vous exécutez une trace du trafic, les informations suivantes s'affichent dans la section données du paquet:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager envoie des paquets SSDP, il n'utilise pas SSDP mais crée les paquets SSDP et les envoie lui-même (c'est SSDP seul). Vous devez désactiver cela dans le registre.

Important Cette section, méthode ou tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, de graves problèmes peuvent survenir si vous modifiez le Registre de manière incorrecte. Par conséquent, assurez-vous de suivre attentivement ces étapes. Pour plus de protection, sauvegardez le registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre en cas de problème.

Pour résoudre ce problème, configurez le Registre pour désactiver les messages de découverte: 1. Démarrez l'Éditeur du Registre (Regedt32.exe). 2.Localisez et cliquez sur la clé suivante dans le Registre: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3.Dans le menu Edition , cliquez sur Ajouter une valeur , puis ajoutez la valeur de Registre suivante:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4. Quittez l'Éditeur du Registre.


1

Je viens d'arrêter et de désactiver le service UPnP sur un PC Windows 7 et je les reçois toujours donc il ne vient pas d'UPnP sur mon PC. Je sais que ce post est ancien mais je voulais ajouter que ce n'est pas nécessairement UPnP.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.