网络中充斥着M-SEARCH数据包:这是什么意思?[关闭]


20

我只是在公寓计算机上启动了Wireshark,然后发现公寓网络中的另一台计算机正在通过UDP数据包发送大量HTTP(每秒约18-20 ...可能不是“洪水”,但很多)与请求行M-SEARCH * HTTP/1.1。现在,我不是网络管理员,而且我无法控制由哪台计算机发送这些数据包,因此我出于自身的好奇心正在对此进行调查。

这是Wireshark报告的典型数据包的信息:

--UDP--
源端口:50623
目的端口:ssdp(1900)
长度:140
--HTTP--
请求方法:M-SEARCH
请求URI:*
请求版本:HTTP / 1.1
MX:3 \ r \ n
主机:239.255.255.250:1900 \ r \ n
MAN:“ ssdp:discover” \ r \ n
ST:urn:schemas-upnp-org:service:WANIPConnection:1 \ r \ n

我做了一些谷歌搜索,发现一个链接,暗示这可能与Windows Messenger有关;唯一的区别是该网页上说的搜索目标应该是,urn:schemas-upnp-org:device:InternetGatewayDevice:1但我看到的数据包的搜索目标是urn:schemas-upnp-org:device:WANIPConnection:1urn:schemas-upnp-org:device:WANPPPConnection:1

我还找到了另一个链接,表明它可能与Downadup蠕虫有关,但是该网页上说该蠕虫应发送具有四个不同搜索目标的数据包,即我看到的两个urn:schemas-upnp-org:device:InternetGatewayDevice:1upnp:rootdevice。我不确定是否缺少其他两个搜索目标是否表明这不是Downadup蠕虫。

而且我找到了另一个链接,其中提到了与通用即插即用功能有关的内容,但我对UPnP的了解并不多,无法解释他们在该页面上的意思。

有谁知道这种情况,并且可以告诉我那台其他计算机可能正在发生什么情况?

PS顺便说一句:自从我开始编写此消息以来,数据包流似乎已停止。

Answers:


15

这些是UPnP发现数据包。他们的目的是发现家庭路由器或媒体服务器等UPnP设备。例如,Windows Live Messenger尝试发现与其连接的家庭路由器,以便自动重定向某些网络端口。

不过,这个比率是不寻常的。在大型以太网上通常会收到很多这样的数据包,因为它们通常被发送到广播地址,但是从台计算机每秒接收18-20 则是异常的。


很高兴知道...我想是那样的,但感谢您的确认。不过,没有任何原因的猜测吗?(病毒/蠕虫或伪正常的Messenger活动?)
David Z

3

以防万一其他人看到相同的数据包。是的,这些是搜索IP路由器的UPnP发现数据包。如果在路由器中启用了UPnP,则要查找它的软件可以添加端口映射,删除端口映射,获取外部IP地址(路由器Ip)等。

基本上,在大多数情况下,搜索WANIPConnection或WANIPPPConnection服务类型(ST:WANIPConnection / WANIPPPConnection)的代码希望实现入站连接。对于P2P应用程序和所有需要入站连接的应用程序来说,这很常见。病毒和网络机器人也一样。

NAT计算机需要端口转发才能到达,并且只能从内部进行。


3

我知道这是一篇旧文章,但只想分享我的研究成果。我也从wireshark上捕获了相同的数据包。

我最初在Windows 7计算机上禁用了UPnP,但这无济于事。之后,我通过在路由器上禁用UPnP摆脱了这些嘈杂的数据包。


2

要查找的是该协议是SSDP- 简单服务发现协议(SSDP)是基于Internet协议套件的网络协议,用于广告和发现网络服务以及状态信息。-维基百科

每个人都应该知道的是他们个人网络上每台设备的IP地址...因此,您应该在Wireshark中看到这些消息(只要它们保留在您的网络中,很好)就可以找到您的nieghbor如何到达您的网络,因为他的设备正在尝试找到您的设备。


2

不好意思地打扰了这篇文章,但我发现它没有得到回答,这个问题在Windows 7上仍然存在

如果同时关闭了SSDP发现服务和通用即插即用设备主机,则不会停止所有SSDP流量;用户数据报协议(UDP)端口1900通信可能会记录在防火墙日志或数据包筛选设备日志中。如果您跟踪流量,则在数据包的数据部分中显示以下信息:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager发送SSDP数据包,它不使用SSDP,而是创建SSDP数据包并自行发送(这是SSDP本身)。您必须在注册表中禁用它。

重要说明: 此部分,方法或任务包含告诉您如何修改注册表的步骤。但是,如果您错误地修改了注册表,则可能会出现严重的问题。因此,请确保您认真执行这些步骤。为了增强保护,请在修改注册表之前先对其进行备份。然后,如果出现问题,您可以还原注册表。

要解决此问题,请将注册表配置为关闭发现消息:1.启动注册表编辑器(Regedt32.exe)。2.找到并单击注册表中的以下项: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3.在“ 编辑”菜单上,单击“ 添加值”,然后添加以下注册表值:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4.退出注册表编辑器。


1

我刚刚停止并禁用了Windows 7 PC上的UPnP服务,但我仍然得到这些,因此它不是来自PC上的UPnP。我知道这篇文章很旧,但想补充一点,不一定是UPnP。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.