Irgendein Programm versucht ständig mit dem Internet Kontakt aufzunehmen. Wie finde ich heraus, um welches Programm es sich dabei handelt? Ich bekomme die Adresse: 239.255.255.250.
wahrscheinlich harmlos…
hallo manfred,
ich glaub hier wirds etwas erklärt. hab ich aus nem forum bei ezboards raus:
frage:
meine tiny fw meldet seit der letzten neuinstallation (winme), dass explorer.exe ein UDP packet an
239.255.255.250:1900 schickt. ausserdem versucht sich mein computer beim start automatisch mit dem internet zu verbinden.
ich benutze winme schon seit 1 jahr und einigen neuinstallationen und hatte sowas noch nie.
hat jemand ne ahnung, woran das liegen koennte?
antwort:
Du sendest SSDP Pakete!
Der Dienst „simple service discovery protokoll“ ist Bestandteil des mit Windows ME eingeführten Universal Plug- n-Play (UPnP). SSDP ist ein auf Grundfunktionen eingeschränkter XML Parser, der es UPnP Geräten ermöglichen soll Informationen über das Netzwerk auszutauschen.
Wahrscheinlich hast du eine PnP-fähige Soundkarte wie SBLive! in deiner Büchse, jetzt versucht ME das Vorhandensein dieser Karte, den anderen möglichen SSDP unterstützenden Rechnern im Netzwerk mitzuteilen, damit sie auch die Karte nutzen können, dabei ist ME nicht so schlau festzustellen ob der Rechner überhaupt in einem LAN eingebunden ist. Alternativ versucht ME auch diese Nachrichten ins Internet zu schicken, wenn man online ist und zwar dann über SSDP auf Port 5000(TCP)!
SSDP ist auch im neuen WinXP vorhanden und arbeitet dort genauso! Wie man das in ME abschalten kann, kann ich dir leider nicht mitteilen, da mir ein ME fehlt!
Den Weg wie bei WinXP, den SSDP Suchdienst(ssdpsrv.exe) beenden, ist soweit ich weiß bei ME nicht einfach so möglich!
-jetzt bin ich wieder da. scheint also ganz harmlos zu sein…
aaaaaber…
hab noch was entdeckt. es kann anscheinend über dieses UPNP auch ein angriff auf einen rechner gestartet werden. etwas darüber hier (von www.bluemerlin-security.de):
Die vor einiger Zeit durch eEye-Digital-Security veröffentlichte Sicherheitslücke hat noch weitere Auswirkungen, die bei Benutzern von Firewallsystemen einige Verwirrung auslösen könnte.
Bei der Sicherheitslücke ist es durch die standardmäßig installierte „Universal Plug and Play“ Unterstützung möglich, über einen Pufferüberlauf beliebigen Code im Zielsystem auszuführen und so die Kontrolle über den Rechner zu bekommen. Eine weitere Sicherheitslücke kann dazu genutzt werden, einen Denial of Service Angriff zu starten, auch wenn auf dem Zielrechner kein Windows XP installiert ist. Es reicht aus, wenn auf dem angegriffenen Computer die XP Software für das Internet Connection Sharing (ICS) läuft.
Für diese Sicherheitslücken stellt Microsoft zwischenzeitlich einen Patch bereit unter: UPNP- Patch
Benutzer von Firewalls können mitunter durch seltsame Verbindungsanzeigen arg irritiert werden. So sendet die Datei svchost.exe (ein Sammelprozess für verschiedene Prozesse) UDP (User Datagramm Protokoll) Pakete über Port 1900 an die Broadcast-Adresse 239.255.255.250. Der dahinterliegende Sinn sind so genannte SSDP (simple service discovery protokoll) Pakete. Die bereits unter Windows ME eingeführte Unterstützung für Universal Plug and Play sendet auf Basis eines eingeschränkten XML-Parsers Informationen von PNP fähigen Geräten in das Netzwerk, um sie anderen SSDP fähigen Rechnern bekannt zu machen. Leider ist der SSDP-Dienst aber zu dumm um festzustellen, ob ein Rechner überhaupt in einem LAN betrieben wird und sendet so auch von Einzelplatzrechnern diese Informationen los.
Das Mittel der Wahl ist die dauerhafte Deaktivierung des SSDP-Dienstes. Gehen Sie dabei wie folgt vor:
Öffnen Sie die Verwaltung über „Start/Einstellungen/Systemsteuerung/Verwaltung“
Wählen Sie „Dienste“ aus.
Deaktivieren Sie SSDP Suchdienst(ssdpsrv.exe) in den Komponentendiensten der Verwaltung.
Anschließend sollten die mysteriösen Verbindungsaufnahmen beendet sein.
Einen weiterführenden Artikel über das UPNP-Problem finden Sie auch bei Rotalarm.de unter: UPNP-Lücke
- wieder ich. bin leider zu doof, um dir das ganze problem mit meinen worten zu erläutern. falls du winxp hast, dann kannst du wie oben beschrieben den suchdienst abschalten. falls du was anderes hast, einfach ignorieren, und wenn du nen server betreibst, dann den oben beschriebenen patch von microsoft machen. kleiner tip: wage dich nicht in das brett it-sicherheit bei w-w-w… dort kriegst du als erstes die antwort, dass du deine firewall deinstallieren sollst
.
viele grüße,
wolfgang
Vielen Dank für den Tipp, ich probier’s mal aus.
Gruß
Manfred