Red inundada de paquetes M-SEARCH: ¿qué significa? [cerrado]

Acabo de encender Wireshark en mi computadora en mi departamento y me di cuenta de que otra computadora en la red del edificio de apartamentos estaba enviando una gran cantidad de paquetes HTTP a través de UDP (aproximadamente 18-20 por segundo ... tal vez no una "inundación", pero mucho) con la línea de solicitud M-SEARCH * HTTP/1.1. Ahora, no soy el administrador de la red, y no tengo control sobre la computadora que envía esos paquetes, por lo que estoy investigando esto solo por mi propia curiosidad.

Aquí está la información de un paquete típico según lo informado por Wireshark:

--UDP--
Puerto de origen: 50623
Puerto de destino: ssdp (1900)
Longitud: 140
--HTTP--
Método de solicitud: M-SEARCH
Solicitar URI: *
Versión de solicitud: HTTP / 1.1
MX: 3 \ r \ n
Anfitrión: 239.255.255.250:1900\r\n
HOMBRE: "ssdp: discover" \ r \ n
ST: urn: schemas-upnp-org: service: WANIPConnection: 1 \ r \ n

Busqué en Google y encontré un enlace que sugiere que esto podría estar relacionado con Windows Messenger ; la única diferencia es que esa página web dice que el objetivo de búsqueda debería ser, urn:schemas-upnp-org:device:InternetGatewayDevice:1pero los paquetes que estoy viendo tienen un objetivo de búsqueda de urn:schemas-upnp-org:device:WANIPConnection:1o urn:schemas-upnp-org:device:WANPPPConnection:1.

También encontré otro enlace que sugiere que podría estar relacionado con el gusano Downadup , pero esa página web dice que el gusano debería enviar paquetes con cuatro objetivos de búsqueda diferentes, a saber, los dos que estoy viendo, así como urn:schemas-upnp-org:device:InternetGatewayDevice:1y upnp:rootdevice. No estoy seguro de si la ausencia de los otros dos objetivos de búsqueda indica que este no es el gusano Downadup.

Y encontré otro enlace que menciona algo que tiene que ver con Universal Plug-and-Play, pero realmente no sé lo suficiente sobre UPnP para interpretar de qué están hablando en esa página.

¿Alguien reconoce esta situación y puede decirme qué podría haber sucedido con esa otra computadora?

PD Incidentalmente: desde que comencé a escribir este mensaje, la secuencia de paquetes parece haberse detenido.

Estos son paquetes de descubrimiento UPnP. Su propósito es descubrir dispositivos UPnP como enrutadores domésticos o servidores de medios. Por ejemplo, Windows Live Messenger intenta descubrir el enrutador doméstico detrás del cual está conectado para redirigir algunos puertos de red automáticamente.

Sin embargo, la tasa es inusual. Es normal recibir muchos de estos paquetes en una red Ethernet grande porque generalmente se envían a la dirección de transmisión, pero recibir 18-20 por segundo desde una sola computadora es anormal.

Por si alguien más ve los mismos paquetes. Sí, estos son paquetes de descubrimiento UPnP que buscan un enrutador IP. Si UPnP está habilitado en su enrutador, el software que desea encontrarlo puede agregar asignaciones de puertos, eliminar asignaciones de puertos, obtener la dirección IP externa (Ip del enrutador), etc.

Básicamente, la mayoría de las veces, el código que busca un tipo de servicio WANIPConnection o WANIPPPConnection (ST: WANIPConnection / WANIPPPConnection) quiere lograr conexiones entrantes. Esto es común para aplicaciones P2P y todo tipo de aplicaciones que requieren conexión entrante. También los virus y los netbots hacen lo mismo.

Una computadora con NAT requiere que el reenvío de puertos sea alcanzable y eso solo se puede hacer desde adentro.

Sé que esta es una publicación antigua, pero solo para compartir mi investigación sobre la misma. También había capturado el mismo conjunto de paquetes en mi wirehark.

Inicialmente había deshabilitado UPnP en mi máquina con Windows 7, pero esto no ayudó. Después de lo cual me deshice de estos paquetes ruidosos deshabilitando UPnP en mi enrutador.

Lo que hay que buscar es que el protocolo sea SSDP: el Protocolo simple de descubrimiento de servicios (SSDP) es un protocolo de red basado en Internet Protocol Suite para publicidad y descubrimiento de servicios de red e información de presencia. -Wikipedia

Lo que todos deben saber es la dirección IP de cada equipo en su red personal ... así que debería ver este tipo de mensajes en Wireshark (siempre y cuando permanezcan dentro de su red, bien) descubra cómo su nieghbor llegó a su red, porque su equipo está tratando de localizar su equipo.

Perdón por publicar esta publicación, pero veo que no recibió respuesta, este problema aún existe en Windows 7

Si desactiva tanto el servicio de descubrimiento de SSDP como el Universal Plug and Play Device Host, no se detendrá todo el tráfico de SSDP; El tráfico del puerto 1900 del Protocolo de datagramas de usuario (UDP) puede registrarse en los registros del firewall o en los registros del dispositivo de filtrado de paquetes. Si ejecuta un seguimiento del tráfico, la siguiente información se muestra en la sección de datos del paquete:

 SSDP: Method = M-SEARCH
 SSDP: Uniform Resource Identifier = *
 SSDP: HTTP Protocol Version = HTTP/1.1
 SSDP: Host = 239.255.255.250:1900
 SSDP: Search Target = urn:schemas-upnp-org:device:InternetGatewayDevice:1
 SSDP: Mandatory Extension = "ssdp:discover"
 SSDP: Maximum Wait = 3 

Windows Messager envía paquetes SSDP, no usa SSDP pero crea los paquetes SSDP y los envía a sí mismo (es SSDP por sí mismo). Tendría que deshabilitar esto en el registro.

Importante Esta sección, método o tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para mayor protección, haga una copia de seguridad del registro antes de modificarlo. Luego, puede restaurar el registro si se produce un problema.

Para resolver este problema, configure el registro para desactivar los mensajes de descubrimiento: 1. Inicie el Editor del registro (Regedt32.exe). 2.Localice y haga clic en la siguiente clave del registro: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP

3.En el menú Editar , haga clic en Agregar valor y luego agregue el siguiente valor de registro:

 Value name: UPnPMode
 Data type: REG_DWORD
 Value data: 2 

4.Quit Editor del Registro.

Acabo de detener y deshabilitar el servicio UPnP en una PC con Windows 7 y todavía recibo estos, por lo que no viene de UPnP en mi PC. Sé que esta publicación es antigua, pero quería agregar que no necesariamente es UPnP.