네트워크에 M-SEARCH 패킷이 쇄도했습니다. 무슨 의미입니까? [닫은]

방금 아파트의 컴퓨터에서 Wireshark를 시작했는데 아파트 건물 네트워크의 다른 컴퓨터가 UDP 패킷을 통해 많은 HTTP를 전송한다는 것을 알았습니다 (초당 약 18-20 초). "홍수"가 아닐 수도 있지만 요청 줄과 함께) M-SEARCH * HTTP/1.1. 이제는 네트워크 관리자가 아니며 패킷을 보내는 컴퓨터를 제어 할 수 없으므로 호기심을 위해서만 조사하고 있습니다.

Wireshark가보고 한 일반적인 패킷 정보는 다음과 같습니다.

--UDP--
소스 포트 : 50623
대상 포트 : SSDP (1900)
길이 : 140
--HTTP--
요청 방법 : M-SEARCH
요청 URI : *
요청 버전 : HTTP / 1.1
MX : 3 \ r \ n
호스트 : 239.255.255.250:1900\r\n
MAN : "ssdp : 검색"\ r \ n
ST : urn : schemas-upnp-org : service : WANIPConnection : 1 \ r \ n

나는 인터넷 검색을했는데 이것이 Windows Messenger와 관련 이 있다는 링크를 발견했습니다 . 유일한 차이점은 해당 웹 페이지에 검색 대상이 있어야 urn:schemas-upnp-org:device:InternetGatewayDevice:1하지만 내가보고있는 패킷에는 urn:schemas-upnp-org:device:WANIPConnection:1또는 검색 대상이 있다는 것입니다 urn:schemas-upnp-org:device:WANPPPConnection:1.

나는 또한 다른 링크가이 것을 제안 발견 다운 애드 업 웜과 관련이있을 수 있지만, 웹 페이지 웜은 네 가지 검색 목표, 즉 두 내가뿐만 아니라보고 있어요으로 패킷을 전송해야한다고 말한다 urn:schemas-upnp-org:device:InternetGatewayDevice:1와 upnp:rootdevice. 다른 두 개의 검색 대상이없는 것이 다운 다운 웜이 아님을 나타내는 지 확실하지 않습니다.

그리고 Universal Plug-and-Play와 관련이있는 또 다른 링크를 찾았지만 UPnP가 그 페이지에서 말하는 내용을 해석 할만큼 충분히 알지 못합니다.

누구나이 상황을 인식하고 다른 컴퓨터에서 무슨 일이 있었는지 말해 줄 수 있습니까?

추신 :이 메시지를 쓰기 시작한 이후 패킷 스트림이 중지 된 것 같습니다.

이들은 UPnP 발견 패킷입니다. 그들의 목적은 홈 라우터 또는 미디어 서버와 같은 UPnP 장치를 발견하는 것입니다. 예를 들어 Windows Live Messenger는 일부 네트워크 포트를 자동으로 리디렉션하기 위해 연결된 홈 라우터를 검색하려고합니다.

그러나 비율은 비정상적입니다. 일반적으로 브로드 캐스트 주소로 전송되기 때문에 대규모 이더넷 네트워크에서 이러한 패킷을 많이받는 것이 일반적이지만 단일 컴퓨터 에서 초당 18-20을받는 것은 비정상입니다.

다른 사람이 동일한 패킷을 보는 경우를 대비하여. 예, 이들은 IP 라우터를 검색하는 UPnP 검색 패킷입니다. 라우터에서 UPnP가 활성화 된 경우이를 찾으려는 소프트웨어는 포트 매핑을 추가하고, 포트 매핑을 삭제하고, 외부 IP 주소 (라우터 Ip)를 가져올 수 있습니다.

기본적으로 WANIPConnection 또는 WANIPPPConnection 서비스 유형 (ST : WANIPConnection / WANIPPPConnection)을 검색하는 코드는 대부분 인바운드 연결을 원합니다. 이는 P2P 응용 프로그램 및 인바운드 연결이 필요한 모든 종류의 응용 프로그램에 공통입니다. 또한 바이러스와 넷봇도 마찬가지입니다.

NAT 컴퓨터는 포트 전달이 가능해야하며 내부에서만 수행 할 수 있어야합니다.

나는 이것이 오래된 게시물이라는 것을 알고 있지만 단지 내 연구를 공유하는 것입니다. wireshark에서도 동일한 패킷 집합을 캡처했습니다.

처음에 Windows 7 컴퓨터에서 UPnP를 비활성화했지만 도움이되지 않았습니다. 그 후 라우터에서 UPnP를 비활성화하여 이러한 시끄러운 패킷을 제거했습니다.

찾아야 할 것은 프로토콜이 SSDP라는 것입니다. SSDP (Simple Service Discovery Protocol)는 네트워크 서비스 및 현재 상태 정보의 보급 및 검색을 위해 Internet Protocol Suite를 기반으로하는 네트워크 프로토콜입니다. 위키 백과

모든 사람이 알아야 할 것은 개인 네트워크에있는 모든 장비의 IP 주소입니다. 따라서 Wireshark에서 이러한 종류의 메시지를 볼 수 있습니다 (네트워크에 남아있는 한 양호). 장비가 장비를 찾으려고하기 때문에 네트워크에 연결됩니다.

이 게시물을 부딪 쳐서 죄송합니다. 응답하지 못했습니다.이 문제는 여전히 Windows 7에 존재합니다.

SSDP 검색 서비스와 범용 플러그 앤 플레이 장치 호스트를 모두 끄면 모든 SSDP 트래픽이 중지되지 않습니다. UDP (User Datagram Protocol) 포트 1900 트래픽은 방화벽 로그 또는 패킷 필터링 장치 로그에 기록 될 수 있습니다. 트래픽 추적을 실행하면 패킷의 데이터 섹션에 다음 정보가 표시됩니다.

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager는 SSDP 패킷을 전송하지만 SSDP는 사용하지 않지만 SSDP 패킷을 생성하여 자체 전송합니다 (SSSP 자체). 레지스트리에서이 기능을 비활성화해야합니다.

중요이 섹션, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서이 단계를 신중하게 따르십시오. 추가 보호를 위해 레지스트리를 수정하기 전에 백업하십시오. 그런 다음 문제가 발생하면 레지스트리를 복원 할 수 있습니다.

이 문제를 해결하려면 검색 메시지를 끄도록 레지스트리를 구성하십시오. 1. 레지스트리 편집기 (Regedt32.exe)를 시작하십시오. 2. 레지스트리에서 다음 키를 찾아 클릭하십시오. HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3.On 편집 메뉴를 클릭 값 추가 누르고 다음 레지스트리 값을 추가합니다 :

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

레지스트리 편집기를 종료하십시오.

방금 Windows 7 PC에서 UPnP 서비스를 중지했다가 비활성화했는데 여전히 PC의 UPnP에서 나오지 않습니다. 이 게시물이 오래되었다는 것을 알고 있지만 반드시 UPnP 인 것은 아닙니다.