Jaringan dibanjiri dengan paket M-SEARCH: apa artinya? [Tutup]

Saya baru saja menyalakan Wireshark di komputer saya di apartemen saya dan saya perhatikan bahwa komputer lain di jaringan gedung apartemen mengirimkan banyak HTTP melalui paket UDP (sekitar 18-20 per detik ... mungkin bukan "banjir", tetapi banyak) dengan garis permintaan M-SEARCH * HTTP/1.1. Sekarang, saya bukan administrator jaringan, dan saya tidak punya kendali atas komputer mana pun yang mengirim paket-paket itu, jadi saya sedang menyelidiki ini hanya karena keingintahuan saya sendiri.

Berikut informasi paket tipikal seperti yang dilaporkan oleh Wireshark:

--UDP--
Sumber port: 50623
Port tujuan: ssdp (1900)
Panjangnya: 140
--HTTP--
Metode Permintaan: M-SEARCH
Minta URI: *
Versi Permintaan: HTTP / 1.1
MX: 3 \ r \ n
PEMBAWA ACARA: 239.255.255.250:1900
MAN: "ssdp: temukan" \ r \ n
ST: urn: schemas-upnp-org: layanan: WANIPKoneksi: 1 \ r \ n

Saya melakukan beberapa Googling dan menemukan tautan yang menunjukkan bahwa ini mungkin terkait dengan Windows Messenger ; satu-satunya perbedaan adalah bahwa halaman web mengatakan target pencarian seharusnya urn:schemas-upnp-org:device:InternetGatewayDevice:1tetapi paket yang saya lihat memiliki target pencarian urn:schemas-upnp-org:device:WANIPConnection:1atau urn:schemas-upnp-org:device:WANPPPConnection:1.

Saya juga menemukan tautan lain yang menunjukkan bahwa itu mungkin terkait dengan worm Downadup , tetapi halaman web itu mengatakan bahwa worm tersebut harus mengirimkan paket dengan empat target pencarian berbeda, yaitu keduanya yang saya lihat serta urn:schemas-upnp-org:device:InternetGatewayDevice:1dan upnp:rootdevice. Saya tidak yakin apakah tidak adanya dua target pencarian lainnya menunjukkan bahwa ini bukan worm Downadup.

Dan saya menemukan tautan lain yang menyebutkan ada hubungannya dengan Universal Plug-and-Play tetapi saya benar-benar tidak cukup tahu tentang UPnP untuk menafsirkan apa yang mereka bicarakan di halaman itu.

Adakah yang mengenali situasi ini dan dapat memberi tahu saya apa yang mungkin terjadi dengan komputer lain itu?

PS Kebetulan: sejak saya mulai menulis pesan ini, aliran paket tampaknya telah berhenti.

Ini adalah paket penemuan UPnP. Tujuannya adalah untuk menemukan perangkat UPnP seperti router rumah atau server media. Misalnya, Windows Live Messenger mencoba menemukan router rumah di belakangnya yang terhubung untuk mengarahkan beberapa port jaringan secara otomatis.

Namun, angka ini tidak biasa. Adalah normal untuk menerima banyak paket-paket ini pada jaringan Ethernet besar karena mereka biasanya dikirim ke alamat broadcast, tetapi menerima 18-20 per detik dari satu komputer tidak normal.

Kalau-kalau ada orang lain melihat paket yang sama. Ya, ini adalah paket penemuan UPnP yang mencari router IP. Jika UPnP diaktifkan di router Anda, perangkat lunak yang ingin menemukannya dapat menambahkan pemetaan port, menghapus pemetaan port, mendapatkan alamat ip eksternal (router Ip), dll.

Pada dasarnya, sebagian besar waktu, kode mencari WANIPConnection atau WANIPPPConnection Service Type (ST: WANIPConnection / WANIPPPConnection) ingin mencapai koneksi inbound. Ini umum untuk aplikasi P2P dan semua jenis aplikasi yang membutuhkan koneksi masuk. Virus dan netbot juga melakukan hal yang sama.

Komputer NATed membutuhkan penerusan port agar dapat dijangkau dan itu hanya bisa dilakukan dari dalam.

Saya tahu ini adalah pos lama tetapi hanya untuk membagikan penelitian saya pada hal yang sama. Saya telah menangkap paket yang sama di wireshark saya juga.

Saya awalnya menonaktifkan UPnP pada Windows 7 Machine saya, tetapi ini tidak membantu. Setelah itu saya menyingkirkan paket-paket berisik ini dengan menonaktifkan UPnP di Router saya.

Yang harus dicari adalah bahwa protokolnya adalah SSDP - Simple Service Discovery Protocol (SSDP) adalah protokol jaringan yang didasarkan pada Internet Protocol Suite untuk iklan dan penemuan layanan jaringan dan informasi keberadaan. -Wikipedia

Yang harus diketahui semua orang adalah alamat IP dari setiap peralatan di jaringan pribadi mereka ... jadi Anda akan melihat pesan seperti ini di Wireshark (asalkan tetap ada di jaringan Anda, bagus) cari tahu bagaimana nieghbor Anda sampai ke Anda jaringan, karena peralatannya mencoba menemukan peralatan Anda.

Maaf untuk membenturkan posting ini tetapi saya melihatnya tidak dijawab, masalah ini masih ada pada Windows 7

Jika Anda mematikan layanan pencarian SSDP dan Universal Plug and Play Device Host, semua lalu lintas SSDP tidak dihentikan; Port Pengguna Datagram Protocol (UDP) 1900 lalu lintas dapat dicatat dalam log firewall atau log perangkat penyaringan paket. Jika Anda menjalankan jejak lalu lintas, informasi berikut ini ditampilkan di bagian data paket:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager mengirim paket SSDP, tidak menggunakan SSDP tetapi membuat paket SSDP dan mengirimkannya sendiri (itu SSDP sendiri). Anda harus menonaktifkan ini di registri.

Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberitahu Anda cara memodifikasi registri. Namun, masalah serius dapat terjadi jika Anda salah memodifikasi registri. Karena itu, pastikan Anda mengikuti langkah-langkah ini dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasinya. Kemudian, Anda dapat memulihkan registri jika terjadi masalah.

Untuk mengatasi masalah ini, konfigurasikan registri untuk mematikan pesan penemuan: 1. Mulai Editor Registri (Regedt32.exe). 2.Lokasi dan klik kunci berikut dalam registri: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3.Pada menu Edit , klik Tambah Nilai , lalu tambahkan nilai registri berikut:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4.Pajak Editor Registri.

Saya baru saja berhenti dan menonaktifkan layanan UPnP pada PC windows 7 dan saya masih mendapatkan ini sehingga tidak datang dari UPnP di PC saya. Saya tahu posting ini sudah lama tetapi ingin menambahkan bahwa itu belum tentu UPnP.