เครือข่ายที่เต็มไปด้วยแพ็คเก็ต M-SEARCH: มันหมายความว่าอะไร? [ปิด]

20

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้

ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์

ปิดให้บริการใน5 ปีที่ผ่านมา

ฉันเพิ่งเปิด Wireshark บนคอมพิวเตอร์ของฉันในอพาร์ทเมนต์ของฉันและฉันสังเกตเห็นว่าคอมพิวเตอร์เครื่องอื่นในเครือข่ายของอพาร์ทเมนต์กำลังส่ง HTTP จำนวนมากผ่านแพ็กเก็ต UDP (ประมาณ 18-20 ต่อวินาที ... อาจไม่ใช่ "ท่วม" แต่ จำนวนมาก) M-SEARCH * HTTP/1.1กับสายการร้องขอ ตอนนี้ฉันไม่ได้เป็นผู้ดูแลระบบเครือข่ายและฉันไม่สามารถควบคุมได้ว่าคอมพิวเตอร์เครื่องใดที่ส่งแพ็กเก็ตเหล่านั้นดังนั้นฉันจึงตรวจสอบเรื่องนี้เพียงเพื่อความอยากรู้อยากเห็นของฉันเอง

นี่คือข้อมูลของแพ็คเก็ตทั่วไปตามที่รายงานโดย Wireshark:

--UDP--
พอร์ตต้นทาง: 50623
พอร์ตปลายทาง: ssdp (1900)
ความยาว: 140
--HTTP--
วิธีการร้องขอ: M-SEARCH
ขอ URI: *
รุ่นที่ขอ: HTTP / 1.1
MX: 3 \ r \ n
HOST: 239.255.255.250:1900\r\n
MAN: "ssdp: ค้นพบ" \ r \ n
ST: urn: schemas-upnp-org: บริการ: WANIPC การเชื่อมต่อ: 1 \ r \ n

ฉันทำ Googling แล้วและพบลิงค์แนะนำว่าสิ่งนี้อาจเกี่ยวข้องกับ Windows Messenger ; ความแตกต่างเพียงอย่างเดียวคือว่าหน้าเว็บที่ระบุว่าเป้าหมายของการค้นหาที่ควรจะเป็นurn:schemas-upnp-org:device:InternetGatewayDevice:1แต่แพ็คเก็ตฉันเห็นมีเป้าหมายการค้นหาของหรือurn:schemas-upnp-org:device:WANIPConnection:1urn:schemas-upnp-org:device:WANPPPConnection:1

ฉันยังพบลิงค์อื่นบอกว่ามันอาจจะเกี่ยวข้องกับหนอน Downadupแต่หน้าเว็บที่บอกว่าหนอนควรจะส่งแพ็คเก็ตที่มีสี่เป้าหมายค้นหาที่แตกต่างคือสองฉันเห็นเช่นเดียวกับและurn:schemas-upnp-org:device:InternetGatewayDevice:1 upnp:rootdeviceฉันไม่แน่ใจว่าไม่มีเป้าหมายการค้นหาสองรายการระบุว่านี่ไม่ใช่เวิร์ม Downadup

และฉันก็พบลิงค์อีกอันที่พูดถึงบางอย่างเกี่ยวกับ Universal Plug-and-Playแต่ฉันไม่รู้เกี่ยวกับ UPnP มากพอที่จะตีความสิ่งที่พวกเขากำลังพูดถึงในหน้านั้น

ไม่มีใครรับรู้สถานการณ์นี้และสามารถบอกฉันว่าเกิดอะไรขึ้นกับคอมพิวเตอร์เครื่องอื่น?

PS บังเอิญ: ตั้งแต่ฉันเริ่มเขียนข้อความนี้ดูเหมือนว่ากระแสข้อมูลแพ็คเก็ตจะหยุดลง

windows upnp networking

— เดวิดซี
แหล่งที่มา

15

เหล่านี้เป็นแพ็คเก็ตการค้นพบ UPnP วัตถุประสงค์ของพวกเขาคือการค้นหาอุปกรณ์ UPnP เช่นเราเตอร์ในบ้านหรือเซิร์ฟเวอร์สื่อ ตัวอย่างเช่น Windows Live Messenger พยายามค้นหาเราเตอร์ที่บ้านซึ่งอยู่ด้านหลังซึ่งมีการเชื่อมต่อเพื่อเปลี่ยนเส้นทางพอร์ตเครือข่ายบางส่วนโดยอัตโนมัติ

แม้ว่าจะเป็นอัตราที่ผิดปกติ เป็นเรื่องปกติที่จะได้รับแพ็คเก็ตเหล่านี้จำนวนมากบนเครือข่ายอีเธอร์เน็ตขนาดใหญ่เพราะปกติแล้วพวกเขาจะถูกส่งไปยังที่อยู่ออกอากาศ แต่การรับ 18-20 ต่อวินาทีจากคอมพิวเตอร์เครื่องเดียวนั้นผิดปกติ

— Etienne Dechamps
แหล่งที่มา

เป็นการดีที่จะรู้ว่า ... ฉันคิดว่ามันเป็นอย่างนั้น แต่ขอบคุณสำหรับการยืนยัน ไม่มีการเก็งกำไรเกี่ยวกับสาเหตุแม้ว่า? (กิจกรรมไวรัส / หนอนหรือหลอก Messenger ปกติ?)

— David Z

3

ในกรณีที่คนอื่นเห็นแพ็คเก็ตเดียวกัน ใช่นี่คือแพ็คเก็ตการค้นพบ UPnP ที่กำลังค้นหาเราเตอร์ IP หากเปิดใช้งาน UPnP ในเราเตอร์ของคุณซอฟต์แวร์ที่ต้องการค้นหาสามารถเพิ่มการแมปพอร์ตลบการแมปพอร์ตรับที่อยู่ IP ภายนอก (เราเตอร์ Ip) เป็นต้น

โดยทั่วไปแล้วส่วนใหญ่แล้วการค้นหารหัสสำหรับ WANIPConnection หรือ WANIPPPConnection Service Type (ST: WANIPConnection / WANIPPPConnection) ต้องการการเชื่อมต่อขาเข้า นี่เป็นเรื่องปกติสำหรับแอปพลิเคชัน P2P และแอปพลิเคชันทุกประเภทที่ต้องมีการเชื่อมต่อขาเข้า ไวรัสและเน็ตบอทก็ทำเช่นเดียวกัน

คอมพิวเตอร์ NATed ต้องมีการส่งต่อพอร์ตเพื่อให้สามารถเข้าถึงได้และสามารถทำได้จากภายในเท่านั้น

— lontivero
แหล่งที่มา

3

ฉันรู้ว่านี่เป็นโพสต์เก่า แต่เพียงเพื่อแบ่งปันงานวิจัยของฉันในเดียวกัน ฉันได้จับแพ็คเก็ตชุดเดียวกันกับ wireshark ของฉันเช่นกัน

ตอนแรกฉันปิดการใช้งาน UPnP บนเครื่อง Windows 7 แต่สิ่งนี้ไม่ได้ช่วย หลังจากนั้นฉันก็กำจัดแพ็คเก็ตที่มีเสียงดังเหล่านี้โดยการปิดการใช้งาน UPnP ที่เราเตอร์ของฉัน

— Hafeez Abdul Rahman
แหล่งที่มา

2

สิ่งที่ควรมองหาคือโปรโตคอลคือ SSDP - Simple Service Discovery Protocol (SSDP) เป็นโปรโตคอลเครือข่ายที่ใช้ Internet Protocol Suite สำหรับการโฆษณาและการค้นหาบริการเครือข่ายและข้อมูลการแสดงตน -Wikipedia

สิ่งที่ทุกคนควรรู้คือที่อยู่ IP ของอุปกรณ์ทุกชิ้นในเครือข่ายส่วนตัวของพวกเขา ... ดังนั้นคุณควรเห็นข้อความประเภทนี้ใน Wireshark (ตราบเท่าที่พวกเขายังคงอยู่ในเครือข่ายของคุณดี) หาว่า nieghbor ของคุณเข้ามาอย่างไร เครือข่ายเนื่องจากอุปกรณ์ของเขาพยายามค้นหาอุปกรณ์ของคุณ

— jasahasch
แหล่งที่มา

2

ขออภัยที่โพสต์ข้อความนี้ แต่ฉันเห็นว่ายังไม่ได้รับคำตอบปัญหานี้ยังคงมีอยู่ใน Windows 7

หากคุณปิดทั้งบริการค้นหา SSDP และโฮสต์อุปกรณ์พลักแอนด์เพลย์แบบสากลทราฟฟิก SSDP ทั้งหมดจะไม่หยุดทำงาน พอร์ตผู้ใช้ Datagram Protocol (UDP) การรับส่งข้อมูล 1900 อาจถูกบันทึกไว้ในบันทึกของไฟร์วอลล์หรือบันทึกอุปกรณ์กรองแพ็คเก็ต หากคุณเรียกใช้การติดตามการรับส่งข้อมูลต่อไปนี้จะแสดงในส่วนข้อมูลของแพ็คเก็ต:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3

Windows Messager ส่งแพ็คเก็ต SSDP แต่ไม่ได้ใช้ SSDP แต่สร้างแพ็คเก็ต SSDP และส่งไปเอง (เป็น SSDP ด้วยตัวเอง) คุณต้องปิดการใช้งานในรีจิสทรี

สิ่งสำคัญ ส่วนวิธีการหรืองานนี้ประกอบด้วยขั้นตอนต่าง ๆ ที่บอกวิธีแก้ไขรีจิสตรี อย่างไรก็ตามปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้นให้แน่ใจว่าคุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติมให้สำรองข้อมูลรีจิสทรีก่อนที่จะแก้ไข จากนั้นคุณสามารถคืนค่ารีจิสทรีได้หากเกิดปัญหาขึ้น

เมื่อต้องการแก้ไขปัญหานี้กำหนดค่ารีจิสทรีเพื่อปิดการค้นหาข้อความ: 1. เริ่มตัวแก้ไขรีจิสทรี (Regedt32.exe) 2. ค้นหาและคลิกที่คีย์ต่อไปนี้ในรีจิสตรี: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3. บนเมนูแก้ไขคลิกเพิ่มค่าจากนั้นเพิ่มค่ารีจิสทรีต่อไปนี้:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2

4.Quit Registry Editor

— หยอกเย้า
แหล่งที่มา

1

ฉันเพิ่งหยุดและปิดใช้งานบริการ UPnP บนพีซีที่ใช้ windows 7 และฉันยังคงได้รับสิ่งเหล่านี้ดังนั้นจึงไม่ได้มาจาก UPnP บนพีซีของฉัน ฉันรู้ว่าโพสต์นี้เก่า แต่ต้องการเพิ่มว่าไม่จำเป็นต้องเป็น UPnP

— เอียน
แหล่งที่มา