我刚刚在我公寓的电脑上开了Wireshark,我注意到公寓楼networking上的另一台计算机正在通过UDP数据包发送大量的HTTP(大约每秒18-20 …也许不是“洪水”,但是很多)与请求行M-SEARCH * HTTP/1.1
。 现在,我不是networkingpipe理员,我无法控制哪一台计算机发送这些数据包,所以我只是为了自己的好奇才对此进行调查。
以下是Wireshark报告的典型数据包的信息:
--UDP-- 源端口:50623 目标端口:ssdp(1900) 长度:140 --HTTP-- 请求方法:M-SEARCH 请求URI:* 请求版本:HTTP / 1.1 MX:3 \ r \ n 主持人:239.255.255.250:1900 \ r \ n MAN:“ssdp:discover”\ r \ n ST:urn:schemas-upnp-org:service:WANIPConnection:1 \ r \ n
我做了一些谷歌search,并find一个链接,暗示这可能与Windows Messenger有关 ; 唯一的区别是,该网页说,search目标应该是urn:schemas-upnp-org:device:InternetGatewayDevice:1
但是我看到的数据包有一个urn:schemas-upnp-org:device:WANIPConnection:1
或urn:schemas-upnp-org:device:WANPPPConnection:1
。
我还发现另外一个链接,提示它可能与Downadup蠕虫病毒有关 ,但是该网页说蠕虫应该发送四个不同的search目标的数据包,即我所看到的两个以及urn:schemas-upnp-org:device:InternetGatewayDevice:1
和upnp:rootdevice
。 我不确定是否没有其他两个search目标表明这不是Downadup蠕虫。
而且我发现了另外一个提到通用即插即用function的链接,但是我实际上对UPnP不够了解他们正在讨论的内容。
有没有人认识到这种情况,可以告诉我,那台计算机上可能发生了什么?
PS顺便说一句:自从我开始写这个消息,数据包stream似乎已经停止。
这些是UPnP发现数据包。 他们的目的是发现家庭路由器或媒体服务器等UPnP设备。 例如,Windows Live Messenger会尝试发现其所连接的家庭路由器,以便自动redirect某些networking端口。
不过,这个比例是不寻常的。 在大的以太网上接收很多这些数据包是正常的,因为它们通常被发送到广播地址,但是从一台计算机接收每秒18-20个数据就不正常了。
以防万一别人看到相同的数据包。 是的,这些是寻找IP路由器的UPnP发现数据包。 如果您的路由器启用了UPnP,则希望查找的软件可以添加端口映射,删除端口映射,获取外部IP地址(路由器Ip)等。
基本上,大多数情况下,searchWANIPConnection或WANIPPPConnection服务types(ST:WANIPConnection / WANIPPPConnection)的代码都希望实现入站连接。 对于P2P应用程序和需要入站连接的所有types的应用程序来说,这是很常见的。 另外病毒和netbots也是这样做的。
NATed计算机要求端口转发是可重复的,并且只能从内部完成。
我知道这是一个旧的职位,但只是分享我的研究相同。 我也在我的wireshark上捕获了同样的数据包。
我最初禁用了Windows 7计算机上的UPnP,但这并没有帮助。 之后,通过在我的路由器上禁用UPnP,我摆脱了这些嘈杂的数据包。
需要注意的是协议是SSDP – 简单服务发现协议(SSDP)是基于Internet协议套件的networking协议,用于广告和发现networking服务和状态信息。 -Wikipedia
每个人都应该知道的是他们个人networking上每台设备的IP地址…所以你应该在Wireshark中看到这些消息(只要他们仍然在你的networking中,好),看看你的nieghbor如何到达你的networking,因为他的设备正在试图find你的设备。
对不起,这个post碰到,但我看到它没有得到答复,这个问题仍然存在于Windows 7
如果closuresSSDP发现服务和通用即插即用设备主机,则不会停止所有SSDP通信; 用户数据报协议(UDP)端口1900stream量可能会logging在防火墙日志或数据包筛选设备日志中。 如果您运行stream量跟踪,数据包的数据部分中将显示以下信息:
SSDP: Method = M-SEARCH SSDP: Uniform Resource Identifier = * SSDP: HTTP Protocol Version = HTTP/1.1 SSDP: Host = 239.255.255.250:1900 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1 SSDP: Mandatory Extension = "ssdp:discover" SSDP: Maximum Wait = 3
Windows Messager发送SSDP数据包,它不使用SSDP,而是创buildSSDP数据包并发送它自己(它自己是SSDP)。 你必须在registry中禁用这个。
重要说明: 此部分,方法或任务包含说明如何修改registry的步骤。 但是,如果您不正确地修改registry,则可能会出现严重问题。 因此,请确保您仔细按照这些步骤。 为了增加保护,请在修改registry之前备份registry。 然后,如果发生问题,您可以还原registry。
要解决此问题,请configurationregistry以closures发现消息:1.启动registry编辑器(Regedt32.exe)。 2.在registry中find并单击以下registry项: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP
3.在编辑菜单上,单击添加数值 ,然后添加以下registry值:
Value name: UPnPMode Data type: REG_DWORD Value data: 2
4.退出registry编辑器。
我刚刚停止并禁用了Windows 7 PC上的UPnP服务,但我仍然得到这些信息,因此它不是来自我的PC上的UPnP。 我知道这个post是旧的,但想补充说,它不一定是UPnP。