网络中充斥着M-SEARCH数据包：这是什么意思？[关闭]

20

我只是在公寓计算机上启动了Wireshark，然后发现公寓网络中的另一台计算机正在通过UDP数据包发送大量HTTP（每秒约18-20 ...可能不是“洪水”，但很多）与请求行M-SEARCH * HTTP/1.1。现在，我不是网络管理员，而且我无法控制由哪台计算机发送这些数据包，因此我出于自身的好奇心正在对此进行调查。

这是Wireshark报告的典型数据包的信息：

--UDP--
源端口：50623
目的端口：ssdp（1900）
长度：140
--HTTP--
请求方法：M-SEARCH
请求URI：*
请求版本：HTTP / 1.1
MX：3 \ r \ n
主机：239.255.255.250：1900 \ r \ n
MAN：“ ssdp：discover” \ r \ n
ST：urn：schemas-upnp-org：service：WANIPConnection：1 \ r \ n

我做了一些谷歌搜索，发现一个链接，暗示这可能与Windows Messenger有关；唯一的区别是该网页上说的搜索目标应该是，urn:schemas-upnp-org:device:InternetGatewayDevice:1但我看到的数据包的搜索目标是urn:schemas-upnp-org:device:WANIPConnection:1或urn:schemas-upnp-org:device:WANPPPConnection:1。

我还找到了另一个链接，表明它可能与Downadup蠕虫有关，但是该网页上说该蠕虫应发送具有四个不同搜索目标的数据包，即我看到的两个urn:schemas-upnp-org:device:InternetGatewayDevice:1和upnp:rootdevice。我不确定是否缺少其他两个搜索目标是否表明这不是Downadup蠕虫。

而且我找到了另一个链接，其中提到了与通用即插即用功能有关的内容，但我对UPnP的了解并不多，无法解释他们在该页面上的意思。

有谁知道这种情况，并且可以告诉我那台其他计算机可能正在发生什么情况？

PS顺便说一句：自从我开始编写此消息以来，数据包流似乎已停止。

windows upnp networking

— 大卫·Z
source

15

这些是UPnP发现数据包。他们的目的是发现家庭路由器或媒体服务器等UPnP设备。例如，Windows Live Messenger尝试发现与其连接的家庭路由器，以便自动重定向某些网络端口。

不过，这个比率是不寻常的。在大型以太网上通常会收到很多这样的数据包，因为它们通常被发送到广播地址，但是从单台计算机每秒接收18-20 则是异常的。

— 艾蒂安·德汉普斯（Etienne Dechamps）
source

很高兴知道...我想是那样的，但感谢您的确认。不过，没有任何原因的猜测吗？（病毒/蠕虫或伪正常的Messenger活动？）

— David Z

3

以防万一其他人看到相同的数据包。是的，这些是搜索IP路由器的UPnP发现数据包。如果在路由器中启用了UPnP，则要查找它的软件可以添加端口映射，删除端口映射，获取外部IP地址（路由器Ip）等。

基本上，在大多数情况下，搜索WANIPConnection或WANIPPPConnection服务类型（ST：WANIPConnection / WANIPPPConnection）的代码希望实现入站连接。对于P2P应用程序和所有需要入站连接的应用程序来说，这很常见。病毒和网络机器人也一样。

NAT计算机需要端口转发才能到达，并且只能从内部进行。

— lontivero
source

3

我知道这是一篇旧文章，但只想分享我的研究成果。我也从wireshark上捕获了相同的数据包。

我最初在Windows 7计算机上禁用了UPnP，但这无济于事。之后，我通过在路由器上禁用UPnP摆脱了这些嘈杂的数据包。

— 哈菲兹·阿卜杜勒·拉赫曼
source

2

要查找的是该协议是SSDP- 简单服务发现协议（SSDP）是基于Internet协议套件的网络协议，用于广告和发现网络服务以及状态信息。-维基百科

每个人都应该知道的是他们个人网络上每台设备的IP地址...因此，您应该在Wireshark中看到这些消息（只要它们保留在您的网络中，很好）就可以找到您的nieghbor如何到达您的网络，因为他的设备正在尝试找到您的设备。

— 哈萨哈施
source

2

不好意思地打扰了这篇文章，但我发现它没有得到回答，这个问题在Windows 7上仍然存在

如果同时关闭了SSDP发现服务和通用即插即用设备主机，则不会停止所有SSDP流量；用户数据报协议（UDP）端口1900通信可能会记录在防火墙日志或数据包筛选设备日志中。如果您跟踪流量，则在数据包的数据部分中显示以下信息：

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3

Windows Messager发送SSDP数据包，它不使用SSDP，而是创建SSDP数据包并自行发送（这是SSDP本身）。您必须在注册表中禁用它。

重要说明： 此部分，方法或任务包含告诉您如何修改注册表的步骤。但是，如果您错误地修改了注册表，则可能会出现严重的问题。因此，请确保您认真执行这些步骤。为了增强保护，请在修改注册表之前先对其进行备份。然后，如果出现问题，您可以还原注册表。

要解决此问题，请将注册表配置为关闭发现消息：1.启动注册表编辑器（Regedt32.exe）。2.找到并单击注册表中的以下项： HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3.在“ 编辑”菜单上，单击“ 添加值”，然后添加以下注册表值：

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2

4.退出注册表编辑器。

— 乔希
source

1

我刚刚停止并禁用了Windows 7 PC上的UPnP服务，但我仍然得到这些，因此它不是来自PC上的UPnP。我知道这篇文章很旧，但想补充一点，不一定是UPnP。

— 伊恩
source