Rete inondata di pacchetti M-SEARCH: cosa significa? [chiuso]

Ho appena acceso Wireshark sul mio computer nel mio appartamento e ho notato che un altro computer sulla rete del condominio stava inviando un sacco di pacchetti HTTP su UDP (circa 18-20 al secondo ... forse non un "diluvio", ma molto) con la riga di richiesta M-SEARCH * HTTP/1.1. Ora, non sono l'amministratore di rete e non ho alcun controllo su qualsiasi computer stia inviando quei pacchetti, quindi sto indagando su questo solo per mia curiosità.

Ecco le informazioni di un pacchetto tipico come riportato da Wireshark:

--UDP--
Porta di origine: 50623
Porta di destinazione: ssdp (1900)
Lunghezza: 140
--HTTP--
Metodo richiesta: M-SEARCH
URI richiesta: *
Versione richiesta: HTTP / 1.1
MX: 3 \ r \ n
HOST: 239.255.255.250:1900\r\n
UOMO: "ssdp: scopri" \ r \ n
ST: urna: schemas-upnp-org: servizio: WANIPConnection: 1 \ r \ n

Ho fatto un po 'di ricerche su Google e ho trovato un link che suggeriva che ciò potesse essere correlato a Windows Messenger ; l'unica differenza è che quella pagina web dice che il target di ricerca dovrebbe essere urn:schemas-upnp-org:device:InternetGatewayDevice:1ma i pacchetti che sto vedendo hanno un target di ricerca di urn:schemas-upnp-org:device:WANIPConnection:1o urn:schemas-upnp-org:device:WANPPPConnection:1.

Ho anche trovato un altro link che suggerisce che potrebbe essere correlato al worm Downadup , ma quella pagina web dice che il worm dovrebbe inviare pacchetti con quattro diversi target di ricerca, vale a dire i due che sto vedendo così come urn:schemas-upnp-org:device:InternetGatewayDevice:1e upnp:rootdevice. Non sono sicuro che l'assenza degli altri due target di ricerca indichi che questo non è il worm Downadup.

E ho trovato un altro link che menziona qualcosa a che fare con Universal Plug-and-Play, ma in realtà non so abbastanza su UPnP per interpretare ciò di cui stanno parlando in quella pagina.

Qualcuno riconosce questa situazione e può dirmi cosa sarebbe potuto succedere con quell'altro computer?

PS Per inciso: da quando ho iniziato a scrivere questo messaggio, il flusso di pacchetti sembra essersi fermato.

Questi sono pacchetti di rilevamento UPnP. Il loro scopo è scoprire dispositivi UPnP come router domestici o server multimediali. Ad esempio, Windows Live Messenger tenta di rilevare il router di casa dietro il quale è collegato per reindirizzare automaticamente alcune porte di rete.

Il tasso è insolito, però. È normale ricevere molti di questi pacchetti su una grande rete Ethernet perché di solito vengono inviati all'indirizzo di trasmissione, ma ricevere 18-20 al secondo da un singolo computer è anormale.

Nel caso in cui qualcun altro veda gli stessi pacchetti. Sì, si tratta di pacchetti di individuazione UPnP alla ricerca di un router IP. Se UPnP è abilitato nel router, il software che desidera trovarlo può aggiungere mappature delle porte, eliminare le mappature delle porte, ottenere l'indirizzo IP esterno (IP del router), ecc.

Fondamentalmente, il più delle volte, il codice che cerca un tipo di servizio WANIPConnection o WANIPPPConnection (ST: WANIPConnection / WANIPPPConnection) vuole ottenere connessioni in entrata. Questo è comune per le applicazioni P2P e tutti i tipi di applicazioni che richiedono una connessione in entrata. Anche virus e netbot fanno lo stesso.

Un computer NAT richiede che il port forwarding sia raggiungibile e che possa essere fatto solo dall'interno.

So che questo è un vecchio post, ma solo per condividere le mie ricerche sullo stesso. Avevo catturato lo stesso set di pacchetti anche sul mio WireShark.

Inizialmente avevo disabilitato UPnP sul mio computer con Windows 7, ma questo non mi è stato di aiuto. Dopo di che mi sono sbarazzato di questi pacchetti rumorosi disabilitando UPnP sul mio router.

Quello che bisogna cercare è che il protocollo sia SSDP - il Simple Service Discovery Protocol (SSDP) è un protocollo di rete basato su Internet Protocol Suite per la pubblicità e la scoperta di servizi di rete e informazioni sulla presenza. -Wikipedia

Quello che tutti dovrebbero sapere è l'indirizzo IP di ogni apparecchiatura sulla propria rete personale ... quindi dovresti vedere questo tipo di messaggi in Wireshark (purché rimangano all'interno della tua rete, bene) per scoprire come il tuo nieghbor è arrivato alla tua rete, perché la sua attrezzatura sta cercando di localizzare la tua attrezzatura.

Mi dispiace pubblicare questo post ma vedo che è rimasto senza risposta, questo problema esiste ancora su Windows 7

Se si disattivano sia il servizio di rilevamento SSDP sia l'host dispositivo Plug and Play universale, tutto il traffico SSDP non viene arrestato; Il traffico della porta 1900 del protocollo UDP (User Datagram Protocol) può essere registrato nei registri del firewall o nei registri dei dispositivi di filtraggio dei pacchetti. Se si esegue una traccia del traffico, le seguenti informazioni vengono visualizzate nella sezione dati del pacchetto:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager invia pacchetti SSDP, non utilizza SSDP ma crea i pacchetti SSDP e li invia da soli (è SSDP da solo). Dovresti disabilitarlo nel registro.

Importante Questa sezione, metodo o attività contiene passaggi che indicano come modificare il registro. Tuttavia, potrebbero verificarsi seri problemi se si modifica il registro in modo errato. Pertanto, assicurarsi di seguire attentamente questi passaggi. Per una maggiore protezione, eseguire il backup del registro prima di modificarlo. Quindi, è possibile ripristinare il registro se si verifica un problema.

Per risolvere questo problema, configurare il registro per disattivare i messaggi di individuazione: 1. Avviare l'Editor del Registro di sistema (Regedt32.exe). 2. Individuare e fare clic sulla chiave seguente nel registro: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3. Nel menu Modifica , fare clic su Aggiungi valore , quindi aggiungere il seguente valore di registro:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4.Quit Registry Editor.

Ho appena interrotto e disabilitato il servizio UPnP su un PC Windows 7 e ancora li ottengo, quindi non proviene da UPnP sul mio PC. So che questo post è vecchio ma volevo aggiungere che non è necessariamente UPnP.