Windows

網路充斥著 M-SEARCH 數據包:這是什麼意思?

  • November 19, 2015

我剛剛在我公寓的電腦上啟動了 Wireshark,我注意到公寓樓網路上的另一台電腦正在通過 UDP 數據包發送大量 HTTP(大約每秒 18-20 個……也許不是“洪水”,但是很多)與請求行M-SEARCH * HTTP/1.1。現在,我不是網路管理員,我無法控制發送這些數據包的哪台電腦,所以我只是出於自己的好奇心而對此進行調查。

以下是 Wireshark 報告的典型數據包資訊:

--UDP--
源埠:50623
目標埠:ssdp (1900)
長度:140
--HTTP--
請求方法:M-SEARCH
請求 URI:*
請求版本:HTTP/1.1
MX: 3\r\n
主機:239.255.255.250:1900\r\n
MAN: "ssdp:discover"\r\n
ST: urn:schemas-upnp-org:service:WANIPConnection:1\r\n

我做了一些Google搜尋,發現一個連結表明這可能與 Windows Messenger 有關;唯一的區別是該網頁說搜尋目標應該是urn:schemas-upnp-org:device:InternetGatewayDevice:1但我看到的數據包的搜尋目標是urn:schemas-upnp-org:device:WANIPConnection:1or urn:schemas-upnp-org:device:WANPPPConnection:1

我還發現另一個連結表明它可能與 Downadup 蠕蟲有關,但該網頁顯示該蠕蟲應該發送具有四個不同搜尋目標的數據包,即我看到的兩個以及urn:schemas-upnp-org:device:InternetGatewayDevice:1upnp:rootdevice。我不確定其他兩個搜尋目標的缺失是否表明這不是 Downadup 蠕蟲。

我還找到了另一個連結,其中提到了與通用即插即用有關的內容,但我對 UPnP 的了解還不夠,無法解釋他們在該頁面上談論的內容。

有沒有人認識到這種情況並可以告訴我另一台電腦可能發生了什麼?

PS順便說一句:自從我開始寫這個消息以來,數據包流似乎已經停止了。

這些是 UPnP 發現​​數據包。它們的目的是發現 UPnP 設備,例如家庭路由器或媒體伺服器。例如,Windows Live Messenger 嘗試發現它所連接的家庭路由器,以便自動重定向某些網路埠。

不過,這個比率是不尋常的。在大型乙太網路上接收大量此類數據包是正常的,因為它們通常發送到廣播地址,但從台電腦接收每秒 18-20 個是不正常的。

以防萬一其他人看到相同的數據包。是的,這些是搜尋 IP 路由器的 UPnP 發現​​數據包。如果您的路由器啟用了 UPnP,想要找到它的軟體可以添加埠映射、刪除埠映射、獲取外部 IP 地址(路由器 Ip)等。

基本上,大多數時候,搜尋 WANIPConnection 或 WANIPPPConnection 服務類型(ST:WANIPConnection/WANIPPPConnection)的程式碼想要實現入站連接。這對於 P2P 應用程序和所有需要入站連接的應用程序很常見。病毒和網路機器人也一樣。

一台經過 NAT 的電腦需要可以訪問埠轉發,而這只能從內部完成。

引用自:https://serverfault.com/questions/64884