it-swarm.cn

网络中充斥着M-SEARCH数据包:这是什么意思?

我刚刚在公寓计算机上启动了Wireshark,然后发现公寓网络中的另一台计算机正在通过UDP数据包发送大量HTTP(大约每秒18-20个……可能不是“洪水”,但很多)与请求行M-SEARCH * HTTP/1.1。现在,我不是网络管理员,并且我无法控制由哪台计算机发送这些数据包,因此我出于自身的好奇心正在对此进行调查。

这是Wireshark报告的典型数据包的信息:

--UDP-
源端口:50623 
目标端口:ssdp(1900)
长度:140 
-HTTP-
请求方法:M-SEARCH 
请求URI:* 
请求版本:HTTP/1.1 
 MX:3\r\n 
主机:239.255.255.250:1900\r\n 
 MAN:“ ssdp:discover”\r\n 
 ST:urn:schemas-upnp-org:service:WANIPConnection:1\r\n

我做了一些谷歌搜索,发现了一个链接,提示它 可能与Windows Messenger有关 ;唯一的区别是该网页显示搜索目标应为urn:schemas-upnp-org:device:InternetGatewayDevice:1,但我看到的数据包的搜索目标为urn:schemas-upnp-org:device:WANIPConnection:1 要么 urn:schemas-upnp-org:device:WANPPPConnection:1

我还找到了另一个暗示它的链接 可能与Downadup蠕虫有关 ,但是该网页上说该蠕虫应该发送带有四个不同搜索目标的数据包,即我所看到的两个以及 urn:schemas-upnp-org:device:InternetGatewayDevice:1upnp:rootdevice。我不确定是否缺少其他两个搜索目标是否表明这不是Downadup蠕虫。

而且我找到了另一个链接,该链接提到 与通用即插即用有关 ,但我对UPnP的了解并不多,无法解释他们在该页面上所谈论的内容。

有谁知道这种情况,并且可以告诉我那台其他计算机可能正在发生什么情况?

附言顺便说一句:自从我开始编写此消息以来,数据包流似乎已停止。

20
David Z

这些是UPnP发现数据包。他们的目的是发现家庭路由器或媒体服务器等UPnP设备。例如,Windows Live Messenger尝试发现与其连接的家庭路由器,以便自动重定向某些网络端口。

不过,这个比率并不寻常。在大型以太网网络上正常接收大量这些数据包是正常的,因为它们通常被发送到广播地址,但是从单个计算机每秒接收18-20则是异常的。

15
Etienne Dechamps

以防万一其他人看到相同的数据包。是的,这些是搜索IP路由器的UPnP发现数据包。如果在路由器中启用了UPnP,则要查找它的软件可以添加端口映射,删除端口映射,获取外部IP地址(路由器Ip)等。

基本上,在大多数情况下,搜索WANIPConnection或WANIPPPConnection服务类型(ST:WANIPConnection/WANIPPPConnection)的代码希望实现入站连接。对于P2P应用程序和所有需要入站连接的应用程序来说,这很常见。病毒和网络机器人也一样。

NAT计算机需要端口转发才能到达,并且只能从内部进行。

3
lontivero

我知道这是一篇旧文章,但只想分享我的研究成果。我也从wireshark上捕获了相同的数据包。

我最初在Windows 7计算机上禁用了UPnP,但这无济于事。之后,我通过在路由器上禁用UPnP摆脱了这些嘈杂的数据包。

3
Hafeez Abdul Rahman

要寻找的是该协议是SSDP简单服务发现协议(SSDP)是基于Internet协议套件的网络协议,用于广告和发现网络服务和状态信息。-维基百科

每个人都应该知道的是他们个人网络上每台设备的IP地址...因此,您应该在Wireshark中看到这些消息(只要它们保留在您的网络中,很好)就可以找到您的nieghbor如何到达您的网络,因为他的设备正在尝试找到您的设备。

2
jasahasch

不好意思碰到这篇文章,但我发现它没有得到回答,这个问题在Windows 7上仍然存在

如果同时关闭了SSDP发现服务和通用即插即用设备主机,则不会停止所有SSDP流量;用户数据报协议(UDP)端口1900通信可能会记录在防火墙日志或数据包筛选设备日志中。如果您跟踪流量,则会在数据包的数据部分中显示以下信息:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager发送SSDP数据包,它不使用SSDP,而是创建SSDP数据包并自行发送(这是SSDP本身)。您必须在注册表中禁用它。

重要此部分,方法或任务包含告诉您如何修改注册表的步骤,但是,如果您修改注册表,则可能会出现严重问题因此,请确保仔细执行以下步骤。为了增强保护,请在修改注册表之前先对其进行备份。然后,如果出现问题,您可以还原注册表。

要解决此问题,请将注册表配置为关闭发现消息:1.启动注册表编辑器(Regedt32.exe)。 2.找到并单击注册表中的以下项:HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlayNATHelp\DPNHUPnP

3.在编辑菜单上,单击添加值,然后添加以下注册表值:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4.退出注册表编辑器。

2
Josh

我刚刚停止并禁用了Windows 7 PC上的UPnP服务,但我仍然得到这些,因此它不是来自PC上的UPnP。我知道这篇文章很旧,但想补充一点,不一定是UPnP。

1
Ian