Je viens de lancer Wireshark sur mon ordinateur dans mon appartement et j'ai remarqué qu'un autre ordinateur sur le réseau de l'immeuble envoyait beaucoup de paquets HTTP sur UDP (environ 18-20 par seconde ... peut-être pas une "inondation", mais beaucoup) avec la ligne de demande M-SEARCH * HTTP/1.1. Maintenant, je ne suis pas l'administrateur réseau, et je n'ai aucun contrôle sur l'ordinateur qui envoie ces paquets, donc j'étudie cela simplement pour ma propre curiosité.
Voici les informations d'un paquet typique tel que rapporté par Wireshark:
--UDP-- Port source: 50623 Port de destination: ssdp (1900) Longueur: 140 --HTTP-- Méthode de demande: M-SEARCH URI de demande: * Version de la demande: HTTP / 1.1 MX: 3 \ r \ n HÔTE: 239.255.255.250:1900\r\n MAN: "ssdp: découvrir" \ r \ n ST: urn: schemas-upnp-org: service: WANIPConnexion: 1 \ r \ n
J'ai fait quelques recherches sur Google et trouvé un lien suggérant que cela pourrait être lié à Windows Messenger ; la seule différence est que cette page Web indique que la cible de recherche devrait être, urn:schemas-upnp-org:device:InternetGatewayDevice:1mais les paquets que je vois ont une cible de recherche de urn:schemas-upnp-org:device:WANIPConnection:1ou urn:schemas-upnp-org:device:WANPPPConnection:1.
J'ai également trouvé un autre lien suggérant qu'il pourrait être lié au ver Downadup , mais cette page Web indique que le ver devrait envoyer des paquets avec quatre cibles de recherche différentes, à savoir les deux que je vois ainsi que urn:schemas-upnp-org:device:InternetGatewayDevice:1et upnp:rootdevice. Je ne sais pas si l'absence des deux autres cibles de recherche indique que ce n'est pas le ver Downadup.
Et j'ai trouvé un autre lien qui mentionne quelque chose à voir avec Universal Plug-and-Play, mais je ne connais vraiment pas assez l'UPnP pour interpréter ce dont ils parlent sur cette page.
Est-ce que quelqu'un reconnaît cette situation et peut me dire ce qui aurait pu se passer avec cet autre ordinateur?
PS Incidemment: depuis que j'ai commencé à écrire ce message, le flux de paquets semble s'être arrêté.
la source
Juste au cas où quelqu'un d'autre verrait les mêmes paquets. Oui, ce sont des paquets de découverte UPnP à la recherche d'un routeur IP. Si UPnP est activé sur votre routeur, le logiciel qui veut le trouver peut ajouter des mappages de ports, supprimer des mappages de ports, obtenir l'adresse IP externe (le routeur Ip), etc.
Fondamentalement, la plupart du temps, le code recherchant un type de service WANIPConnection ou WANIPPPConnection (ST: WANIPConnection / WANIPPPConnection) souhaite établir des connexions entrantes. Ceci est courant pour les applications P2P et toutes sortes d'applications qui nécessitent une connexion entrante. Les virus et les netbots font de même.
Un ordinateur NAT nécessite que la redirection de port soit accessible et cela ne peut être fait que de l'intérieur.
la source
Je sais que c'est un ancien poste mais juste pour partager mes recherches sur le même sujet. J'avais également capturé le même ensemble de paquets sur mon wirehark.
J'avais initialement désactivé UPnP sur ma machine Windows 7 mais cela n'a pas aidé. Après quoi je me suis débarrassé de ces paquets bruyants en désactivant UPnP sur mon routeur.
la source
Ce qu'il faut rechercher, c'est que le protocole est SSDP - le Simple Service Discovery Protocol (SSDP) est un protocole réseau basé sur Internet Protocol Suite pour la publicité et la découverte des services réseau et des informations de présence. -Wikipédia
Ce que tout le monde devrait savoir, c'est l'adresse IP de chaque équipement sur son réseau personnel ... vous devriez donc voir ce genre de messages dans Wireshark (tant qu'ils restent dans votre réseau, bien) découvrez comment votre Nieghbor est arrivé à votre réseau, car son équipement tente de localiser votre équipement.
la source
Désolé de bump ce post mais je vois qu'il est resté sans réponse, ce problème existe toujours sur Windows 7
Si vous désactivez le service de découverte SSDP et l'hôte de périphérique Universal Plug and Play, tout le trafic SSDP n'est pas arrêté; Le trafic du port UDP (User Datagram Protocol) 1900 peut être enregistré dans les journaux du pare-feu ou les journaux des périphériques de filtrage des paquets. Si vous exécutez une trace du trafic, les informations suivantes s'affichent dans la section données du paquet:
Windows Messager envoie des paquets SSDP, il n'utilise pas SSDP mais crée les paquets SSDP et les envoie lui-même (c'est SSDP seul). Vous devez désactiver cela dans le registre.
Important Cette section, méthode ou tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, de graves problèmes peuvent survenir si vous modifiez le Registre de manière incorrecte. Par conséquent, assurez-vous de suivre attentivement ces étapes. Pour plus de protection, sauvegardez le registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre en cas de problème.
Pour résoudre ce problème, configurez le Registre pour désactiver les messages de découverte: 1. Démarrez l'Éditeur du Registre (Regedt32.exe). 2.Localisez et cliquez sur la clé suivante dans le Registre: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP
3.Dans le menu Edition , cliquez sur Ajouter une valeur , puis ajoutez la valeur de Registre suivante:
4. Quittez l'Éditeur du Registre.
la source
Je viens d'arrêter et de désactiver le service UPnP sur un PC Windows 7 et je les reçois toujours donc il ne vient pas d'UPnP sur mon PC. Je sais que ce post est ancien mais je voulais ajouter que ce n'est pas nécessairement UPnP.
la source